Ldap Authentifizierung auf einer Webseite
Hallo Ihr Lieben,
ich habe einen DomainController (Windows 2k3), der nur eine interne Domain namens "test.local" verwaltet, damit sich die User ganz normal innerhalb des Systems an einer Domäne anmelden können.
Jetzt haben wir vor eine Website zu erstellen, auf der man sich im Backend authentifizieren kann. Da ich den Usern nicht noch ein Passwort aufzwingen möchte, dachte ich mir an eine Authentifizierung gegen das bereits bestehende interne AD mit der Domain test.local. Somit wäre das SingleSignOn perfekt. Der DC hat auch Zugriff aufs Internet. Die Authentifizierung innerhalb des selben Netzes funktioniert bereits.
Nun wollen wir aber den Webserver nicht selbst betreiben (also nicht in unserem internen Netz), sondern diesen bei einem ISP oder Webhoster.
Dazu würde ich nur den Port 389 von der öffentlichen Webseite (www.test.de mit fester IP) auf meiner internen Firewall zulassen und zum DC weiterleiten, indem ich in der Firewall eine neue Regel erstelle.
Meine Fragen:
1. Wie sicher ist diese Variante? Denn so weit ich hier im Forum bereits lesen konnte, wird bei der Übertragung nichts verschlüsselt.
2.Muss der Provider irgendwelche Voraussetzungen haben?
3. Was muss man noch beachten?
4. Habt Ihr andere Lösungen/Vorschläge?
Vielen Dank für Eure Hilfe.
Gruß Kuli
ich habe einen DomainController (Windows 2k3), der nur eine interne Domain namens "test.local" verwaltet, damit sich die User ganz normal innerhalb des Systems an einer Domäne anmelden können.
Jetzt haben wir vor eine Website zu erstellen, auf der man sich im Backend authentifizieren kann. Da ich den Usern nicht noch ein Passwort aufzwingen möchte, dachte ich mir an eine Authentifizierung gegen das bereits bestehende interne AD mit der Domain test.local. Somit wäre das SingleSignOn perfekt. Der DC hat auch Zugriff aufs Internet. Die Authentifizierung innerhalb des selben Netzes funktioniert bereits.
Nun wollen wir aber den Webserver nicht selbst betreiben (also nicht in unserem internen Netz), sondern diesen bei einem ISP oder Webhoster.
Dazu würde ich nur den Port 389 von der öffentlichen Webseite (www.test.de mit fester IP) auf meiner internen Firewall zulassen und zum DC weiterleiten, indem ich in der Firewall eine neue Regel erstelle.
Meine Fragen:
1. Wie sicher ist diese Variante? Denn so weit ich hier im Forum bereits lesen konnte, wird bei der Übertragung nichts verschlüsselt.
2.Muss der Provider irgendwelche Voraussetzungen haben?
3. Was muss man noch beachten?
4. Habt Ihr andere Lösungen/Vorschläge?
Vielen Dank für Eure Hilfe.
Gruß Kuli
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 143935
Url: https://administrator.de/forum/ldap-authentifizierung-auf-einer-webseite-143935.html
Ausgedruckt am: 26.12.2024 um 00:12 Uhr
13 Kommentare
Neuester Kommentar
Servus,
was du suchst sind eher die "Active Directory-Verbunddienste", im Fachjargon auch als "Active Directory Federation Services (kurz AD FS) bekannt.
[AD FS (Übersicht)]
http://technet.microsoft.com/de-de/library/cc755226(WS.10).aspx
Viele Grüße
/ > Yusuf Dikmenoglu
was du suchst sind eher die "Active Directory-Verbunddienste", im Fachjargon auch als "Active Directory Federation Services (kurz AD FS) bekannt.
[AD FS (Übersicht)]
http://technet.microsoft.com/de-de/library/cc755226(WS.10).aspx
Viele Grüße
/ > Yusuf Dikmenoglu
1. Wie sicher ist diese Variante? Denn so weit ich hier im Forum bereits lesen konnte, wird bei der Übertragung nichts verschlüsselt.
Garnicht.
Darum nimm gleich LDAPS (Port 636)
2.Muss der Provider irgendwelche Voraussetzungen haben?
Remote Verbindungen erlauben, LDAP Library haben, das Zertifikat deines Servers akzeptieren
was du suchst sind eher die "Active Directory-Verbunddienste", im Fachjargon auch als "Active Directory Federation Services (kurz AD FS) bekannt.
Warum ich die benutzen sollte hat sich mir noch nicht erschlossen.
In der Standardkonfiguration kann jeder beliebige Host ein LDAP Bind gegen den DC machen.
Moin,
da man intern von extern trennen sollte.
Ja klar, man kann vieles machen, aber ich bin ein Freund von strikter Trennung.
Ja und? Es hat auch keiner das Gegenteil behauptet.
Gruß, Yusuf Dikmenoglu
da man intern von extern trennen sollte.
Ja klar, man kann vieles machen, aber ich bin ein Freund von strikter Trennung.
In der Standardkonfiguration kann jeder beliebige Host ein LDAP Bind gegen den DC machen.
Ja und? Es hat auch keiner das Gegenteil behauptet.
Gruß, Yusuf Dikmenoglu
Nö, keineswegs. Deine Aussage kam mir jedoch "vorwurfsvoll" rüber. Daher meine Reaktion.
Mich würde aber interessieren, ob es mit AD FS überhaupt möglich ist eine Integration mit einem LAMP-System zu machen.
Ich kam damit bisher zwar noch nicht in Berührung, aber ich bin mir sicher das sich ein Lösung dazu finden lässt.
Gruß, Yusuf Dikmenoglu