speedy26gonzales
Goto Top

Server in Domäne als Gateway für LDAP Clients

Hallo zusammen,

ich habe da mal eine Frage zu LDAP und Domäne:

Ist es möglich, wenn ein Server direkt an einer Domäne eingebunden wird, an diesen dann LDAP Clients anzubinden, die dann über den Server Zugriff auf die Domäne haben?

Hintergrund ist folgender:

Server hat 2 Netzwerkkarten mit zwei verschiedenen Bereichen:

1. Bereich: Verbindung ins Officenetz zur Domäne
2. Bereich: Verbindung in einen Arbeitsbereich zu Clientrechner

Da die Clients keinen direkten Zugang zum Domänennetz haben, jetzt der Gedanke über LDAP an den Server?

Geht das? Oder Habe ich da gravierende Denkfehler drin?

Content-ID: 304304

Url: https://administrator.de/forum/server-in-domaene-als-gateway-fuer-ldap-clients-304304.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

SlainteMhath
SlainteMhath 12.05.2016 um 09:11:38 Uhr
Goto Top
Moin,

was genau verstehst du denn unter "!Zugriff auf die Domäne"? LDAP Abfragen kann im Prinzip jeder DC im AD beantworten.

lg,
Slainte
emeriks
emeriks 12.05.2016 aktualisiert um 10:24:29 Uhr
Goto Top
Hi,
welchen Sinn das auch immer haben sollen.
Ich nehme an, dass das auch zwei getrennte Netz sind, sowohl physisch (auch VLAN) als auch im IP-Subnet?
Falls ja, und falls da kein anderer Router zwischen ist, könntest Du den Server als Router konfigurieren und den Clients diesen Router entweder als Standard-Gateway eintragen oder für eine gezielte Route in das Netz mit dem DC. Dabei vorausgesetzt, dass es im Netz mit den Clients einen DNS-Server gibt, der den Clients die erforderlichen Records für die AD Domäne auflösen kann.

E.
speedy26gonzales
speedy26gonzales 12.05.2016 um 11:42:55 Uhr
Goto Top
Hi Slainte,

der Server hängt in der Domäne an einem DC. Hat selbst also kein DC laufen.

Die LDAP anfragen von den Clients kommen dann nur an dem Server an und müssten ja weitergeleitet werden?
Die Clients haben keinen direkten Zugriff in das Netz vom DC.
SlainteMhath
SlainteMhath 12.05.2016 um 11:52:31 Uhr
Goto Top
Leider verrätst Du uns nicht, um was Server/AD-Versionen bei dir im Einsatz sind.
Vielleicht ist die AD LDS Serverrolle das was du suchst?
speedy26gonzales
speedy26gonzales 12.05.2016 aktualisiert um 13:45:03 Uhr
Goto Top
Habe es mal versucht in einem Bild darzustellen.

Server 1 (z.b. Server 2008 R2) soll den DC/AD darstellen.

Server 2 (z.b. Server 2012 R2) ist mit dem Netz von Server 1 verbunden und in der Domäne.
Client 1 und Client 2 sind nicht in der Domäne, aber mit Server 2 verbunden und sollen über LDAP Zugriff auf das AD von Server 1 bekommen.

Ich steh leider komplett auf dem Schlauch in welche Richtung ich denken muss um das umzusetzen.
overview
emeriks
emeriks 12.05.2016 aktualisiert um 13:49:33 Uhr
Goto Top
Du suchst einen reinen LDAP-Proxy? Und es geht nicht darum, dass die Clients Mitglied der AD Domäne sind und sich dort Benutzer aus diese Domäne anmelden sollen? Falls letzteres doch: Geht so nicht! Du könntest dafür höchstens den Server - wie schonmal von mir beschrieben - als Router laufen lassen. Oder als NAT-Router. Dann sieht es für die Clients so aus, als wenn der Server die Anfragen an den DC beantworten würde. Entsprechede manuelle DNS-Konfiguration im Client-Netz vorausgesetzt.

Wenn doch reiner LDAP-Proxy, dann spuckt Kugel dafür z.B. folgendes aus: OpenLDAP als Proxy zum Zugriff auf Active Directory einrichten
speedy26gonzales
speedy26gonzales 12.05.2016 um 14:44:15 Uhr
Goto Top
Hi,

die Clients sollen kein Mitglied der AD Domäne sein, sich aber über LDAP darüber anmelden können.
Einzig der Server 2 ist komplett in die Domäne integriert.
LDAP ist doch der Vorteil, dass sich einzelne Programme an einem AD der Domäne anmelden können ohne dass der Client mitglied ist, oder?

Wenn ich es jetzt aber richtig verstanden habe muss ich dann die Routersache umsetzen, oder?
emeriks
emeriks 12.05.2016 um 16:19:30 Uhr
Goto Top
LDAP ist doch der Vorteil, dass sich einzelne Programme an einem AD der Domäne anmelden können ohne dass der Client mitglied ist, oder?
LDAP? Nein.
Du meinst sicherlich Kerberos?

Wenn ich es jetzt aber richtig verstanden habe muss ich dann die Routersache umsetzen, oder?
Ja, wie sonst sollen die Authentifizierungs-Anfragen zum DC gelangen?
speedy26gonzales
speedy26gonzales 13.05.2016 aktualisiert um 08:27:54 Uhr
Goto Top
Ja, wie sonst sollen die Authentifizierungs-Anfragen zum DC gelangen?
Na dachte wenn der Server in der Domäne ist, könnte er die Anfragen dann bearbeiten und weitergeben?
emeriks
emeriks 13.05.2016 aktualisiert um 08:32:24 Uhr
Goto Top
Na dachte wenn der Server in der Domäne ist, könnte er die Anfragen dann bearbeiten und weitergeben?
Dann müsstest Du mit RRAS oder sowas arbeiten. Macht das in einem LAN Sinn?
Ich verstehe Dich doch richtig: Es geht um Benutzerauthentifizierung und nicht um Geräteauthentifizierung?
speedy26gonzales
speedy26gonzales 17.05.2016 um 09:47:18 Uhr
Goto Top
Hi,

ja es geht um Benutzerauthentifizierung.
emeriks
emeriks 17.05.2016 um 10:01:17 Uhr
Goto Top
Dann habe ich alles geschrieben ....
speedy26gonzales
speedy26gonzales 23.05.2016 um 14:27:28 Uhr
Goto Top
Hi Emeriks,

wenn ich es richtig verstanden habe geht es nur über Routing in den Servern, oder?

Jetzt sieht der Aufbau nochmals etwas anders aus (siehe Bild).

Es sind Clients die mit Server 1 direkt verbunden sind und über LDAP eine Authentifizierung am DC von Server 3 machen wollen.
Kann ich da jetzt einfach an Server 1 und Server 2 ein Routing einstellen und es sollte funktionieren?

Oder gibts doch noch andere Möglichkeiten?
overview
emeriks
emeriks 23.05.2016 um 14:44:08 Uhr
Goto Top
Routing: ja.
Firewall Regeln: ja.

Und nochmal:
über LDAP eine Authentifizierung am DC
Was immer Du darunter verstehst ...
Beim Zugriff auf den Verzeichnisdienst des DC via LDAP muss der Benutzer sich authentifizieren. Er muss also entweder an einem Domain Member mit einem Domain User angemeldet sein und aus dieser Sitzung auf den Verzeichnisdienst zugreifen oder beim LDAP-Bind die Anmeldedaten mitgeben. Diese Authentifizierung gilt dann aber ausschließlich für diesen Zugriff auf den Verzeichnisdienst via LDAP. Das hat nichts, aber auch gar nichts mit der Authentifizierung des Benutzers am Client zu tun.
speedy26gonzales
speedy26gonzales 23.05.2016 aktualisiert um 16:15:01 Uhr
Goto Top
Zitat von @emeriks:

Routing: ja.
Firewall Regeln: ja.

Und nochmal:
über LDAP eine Authentifizierung am DC
Was immer Du darunter verstehst ...
Beim Zugriff auf den Verzeichnisdienst des DC via LDAP muss der Benutzer sich authentifizieren. Er muss also entweder an einem Domain Member mit einem Domain User angemeldet sein und aus dieser Sitzung auf den Verzeichnisdienst zugreifen oder beim LDAP-Bind die Anmeldedaten mitgeben. Diese Authentifizierung gilt dann aber ausschließlich für diesen Zugriff auf den Verzeichnisdienst via LDAP. Das hat nichts, aber auch gar nichts mit der Authentifizierung des Benutzers am Client zu tun.
Hi,
es geht darum dass sich ein Programm mit LDAP Anbindung am DC anmelden kann. Bzw. mit einem User aus dem DC die Berechtigung für das Programm freischalten kann.

Passt die Beschreibung von meinem Bild so?
overview
emeriks
emeriks 23.05.2016 um 16:18:10 Uhr
Goto Top
es geht darum dass sich ein Programm mit LDAP Anbindung am DC anmelden kann
Jetzt hast Du es das erste Mal korrekt formuliert.
Also wie alles schon geschrieben. Wenn Du im Programm Anmelddaten für den Zugriff auf den LDAP-Dienst angeben kannst, dann geht das mit dem Routing und ohne dass die Clients Domain member sind. Wenn man das nicht im Programm angeben kann, dann muss das Programm in einer bereits authentifizierten Benutzersitzung gestartet werden. Letzteres geht nur, wenn der Client Domain Member ist.

Oder: Du lässt Server1 als TS laufen und die Benutzer melden sich dort per RDP mit einem Domain User an, starten eine Sitzung und können dann in dieser Sitzung auf dem TS das Programm starten.
speedy26gonzales
speedy26gonzales 24.05.2016 aktualisiert um 10:10:49 Uhr
Goto Top
Jetzt hast Du es das erste Mal korrekt formuliert.
Danke face-smile.
Also wie alles schon geschrieben. Wenn Du im Programm Anmelddaten für den Zugriff auf den LDAP-Dienst angeben kannst, dann geht das mit dem Routing und ohne dass die Clients Domain member sind. Wenn man das nicht im Programm angeben kann, dann muss das Programm in einer bereits authentifizierten Benutzersitzung gestartet werden. Letzteres geht nur, wenn der Client Domain Member ist.
Im Programm können Anmeldedaten weitergegeben werden.
Mein erster Gedanke der Umsetzung war eigentlich, dass Server 2 in der Domain ist und dann via Gateway die LDAP Anfragen nach oben und unten weitergeben kann.
Wenn ich das aber richtig verstanden habe geht dieses Szenario nicht.
Oder: Du lässt Server1 als TS laufen und die Benutzer melden sich dort per RDP mit einem Domain User an, starten eine Sitzung und können dann in dieser Sitzung auf dem TS das Programm starten.
Aber hier müsste doch Server 1 auch wieder in der Domain sein? Dann müsste Server 2 die Anfragen auch umleiten/routen, oder?

Was wäre wenn ich auf Server 1 z.B. einen weiteren DC mit AD installier, der dann seine User von Server 3 AD holt?
Und die LDAP Anfragen direkt beanworten kann, ohne Routing?
emeriks
emeriks 24.05.2016 um 16:48:29 Uhr
Goto Top
Aber hier müsste doch Server 1 auch wieder in der Domain sein? Dann müsste Server 2 die Anfragen auch umleiten/routen, oder?
Korrekt.
Was wäre wenn ich auf Server 1 z.B. einen weiteren DC mit AD installier, der dann seine User von Server 3 AD holt?
Und die LDAP Anfragen direkt beanworten kann, ohne Routing?
Ja, das ginge natürlich. Nur dann stellt sich die Frage, warum Du dann den 1. DC (Server3) hinter 2 FW verstecken willst.