18
Server in Domäne als Gateway für LDAP Clients
Hallo zusammen,
ich habe da mal eine Frage zu LDAP und Domäne:
Ist es möglich, wenn ein Server direkt an einer Domäne eingebunden wird, an diesen dann LDAP Clients anzubinden, die dann über den Server Zugriff auf die Domäne haben?
Hintergrund ist folgender:
Server hat 2 Netzwerkkarten mit zwei verschiedenen Bereichen:
1. Bereich: Verbindung ins Officenetz zur Domäne
2. Bereich: Verbindung in einen Arbeitsbereich zu Clientrechner
Da die Clients keinen direkten Zugang zum Domänennetz haben, jetzt der Gedanke über LDAP an den Server?
Geht das? Oder Habe ich da gravierende Denkfehler drin?
ich habe da mal eine Frage zu LDAP und Domäne:
Ist es möglich, wenn ein Server direkt an einer Domäne eingebunden wird, an diesen dann LDAP Clients anzubinden, die dann über den Server Zugriff auf die Domäne haben?
Hintergrund ist folgender:
Server hat 2 Netzwerkkarten mit zwei verschiedenen Bereichen:
1. Bereich: Verbindung ins Officenetz zur Domäne
2. Bereich: Verbindung in einen Arbeitsbereich zu Clientrechner
Da die Clients keinen direkten Zugang zum Domänennetz haben, jetzt der Gedanke über LDAP an den Server?
Geht das? Oder Habe ich da gravierende Denkfehler drin?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 304304
Url: https://administrator.de/contentid/304304
Ausgedruckt am: 15.11.2024 um 17:11 Uhr
18 Kommentare
Neuester Kommentar
Moin,
was genau verstehst du denn unter "!Zugriff auf die Domäne"? LDAP Abfragen kann im Prinzip jeder DC im AD beantworten.
lg,
Slainte
was genau verstehst du denn unter "!Zugriff auf die Domäne"? LDAP Abfragen kann im Prinzip jeder DC im AD beantworten.
lg,
Slainte
Hi,
welchen Sinn das auch immer haben sollen.
Ich nehme an, dass das auch zwei getrennte Netz sind, sowohl physisch (auch VLAN) als auch im IP-Subnet?
Falls ja, und falls da kein anderer Router zwischen ist, könntest Du den Server als Router konfigurieren und den Clients diesen Router entweder als Standard-Gateway eintragen oder für eine gezielte Route in das Netz mit dem DC. Dabei vorausgesetzt, dass es im Netz mit den Clients einen DNS-Server gibt, der den Clients die erforderlichen Records für die AD Domäne auflösen kann.
E.
welchen Sinn das auch immer haben sollen.
Ich nehme an, dass das auch zwei getrennte Netz sind, sowohl physisch (auch VLAN) als auch im IP-Subnet?
Falls ja, und falls da kein anderer Router zwischen ist, könntest Du den Server als Router konfigurieren und den Clients diesen Router entweder als Standard-Gateway eintragen oder für eine gezielte Route in das Netz mit dem DC. Dabei vorausgesetzt, dass es im Netz mit den Clients einen DNS-Server gibt, der den Clients die erforderlichen Records für die AD Domäne auflösen kann.
E.
Hi Slainte,
der Server hängt in der Domäne an einem DC. Hat selbst also kein DC laufen.
Die LDAP anfragen von den Clients kommen dann nur an dem Server an und müssten ja weitergeleitet werden?
Die Clients haben keinen direkten Zugriff in das Netz vom DC.
der Server hängt in der Domäne an einem DC. Hat selbst also kein DC laufen.
Die LDAP anfragen von den Clients kommen dann nur an dem Server an und müssten ja weitergeleitet werden?
Die Clients haben keinen direkten Zugriff in das Netz vom DC.
Leider verrätst Du uns nicht, um was Server/AD-Versionen bei dir im Einsatz sind.
Vielleicht ist die AD LDS Serverrolle das was du suchst?
Vielleicht ist die AD LDS Serverrolle das was du suchst?
Habe es mal versucht in einem Bild darzustellen.
Server 1 (z.b. Server 2008 R2) soll den DC/AD darstellen.
Server 2 (z.b. Server 2012 R2) ist mit dem Netz von Server 1 verbunden und in der Domäne.
Client 1 und Client 2 sind nicht in der Domäne, aber mit Server 2 verbunden und sollen über LDAP Zugriff auf das AD von Server 1 bekommen.
Ich steh leider komplett auf dem Schlauch in welche Richtung ich denken muss um das umzusetzen.
Server 1 (z.b. Server 2008 R2) soll den DC/AD darstellen.
Server 2 (z.b. Server 2012 R2) ist mit dem Netz von Server 1 verbunden und in der Domäne.
Client 1 und Client 2 sind nicht in der Domäne, aber mit Server 2 verbunden und sollen über LDAP Zugriff auf das AD von Server 1 bekommen.
Ich steh leider komplett auf dem Schlauch in welche Richtung ich denken muss um das umzusetzen.
Du suchst einen reinen LDAP-Proxy? Und es geht nicht darum, dass die Clients Mitglied der AD Domäne sind und sich dort Benutzer aus diese Domäne anmelden sollen? Falls letzteres doch: Geht so nicht! Du könntest dafür höchstens den Server - wie schonmal von mir beschrieben - als Router laufen lassen. Oder als NAT-Router. Dann sieht es für die Clients so aus, als wenn der Server die Anfragen an den DC beantworten würde. Entsprechede manuelle DNS-Konfiguration im Client-Netz vorausgesetzt.
Wenn doch reiner LDAP-Proxy, dann spuckt Kugel dafür z.B. folgendes aus: OpenLDAP als Proxy zum Zugriff auf Active Directory einrichten
Wenn doch reiner LDAP-Proxy, dann spuckt Kugel dafür z.B. folgendes aus: OpenLDAP als Proxy zum Zugriff auf Active Directory einrichten
Hi,
die Clients sollen kein Mitglied der AD Domäne sein, sich aber über LDAP darüber anmelden können.
Einzig der Server 2 ist komplett in die Domäne integriert.
LDAP ist doch der Vorteil, dass sich einzelne Programme an einem AD der Domäne anmelden können ohne dass der Client mitglied ist, oder?
Wenn ich es jetzt aber richtig verstanden habe muss ich dann die Routersache umsetzen, oder?
die Clients sollen kein Mitglied der AD Domäne sein, sich aber über LDAP darüber anmelden können.
Einzig der Server 2 ist komplett in die Domäne integriert.
LDAP ist doch der Vorteil, dass sich einzelne Programme an einem AD der Domäne anmelden können ohne dass der Client mitglied ist, oder?
Wenn ich es jetzt aber richtig verstanden habe muss ich dann die Routersache umsetzen, oder?
LDAP ist doch der Vorteil, dass sich einzelne Programme an einem AD der Domäne anmelden können ohne dass der Client mitglied ist, oder?
LDAP? Nein.Du meinst sicherlich Kerberos?
Wenn ich es jetzt aber richtig verstanden habe muss ich dann die Routersache umsetzen, oder?
Ja, wie sonst sollen die Authentifizierungs-Anfragen zum DC gelangen?Ja, wie sonst sollen die Authentifizierungs-Anfragen zum DC gelangen?
Na dachte wenn der Server in der Domäne ist, könnte er die Anfragen dann bearbeiten und weitergeben?Na dachte wenn der Server in der Domäne ist, könnte er die Anfragen dann bearbeiten und weitergeben?
Dann müsstest Du mit RRAS oder sowas arbeiten. Macht das in einem LAN Sinn?Ich verstehe Dich doch richtig: Es geht um Benutzerauthentifizierung und nicht um Geräteauthentifizierung?
Hi,
ja es geht um Benutzerauthentifizierung.
ja es geht um Benutzerauthentifizierung.
Dann habe ich alles geschrieben ....
Hi Emeriks,
wenn ich es richtig verstanden habe geht es nur über Routing in den Servern, oder?
Jetzt sieht der Aufbau nochmals etwas anders aus (siehe Bild).
Es sind Clients die mit Server 1 direkt verbunden sind und über LDAP eine Authentifizierung am DC von Server 3 machen wollen.
Kann ich da jetzt einfach an Server 1 und Server 2 ein Routing einstellen und es sollte funktionieren?
Oder gibts doch noch andere Möglichkeiten?
wenn ich es richtig verstanden habe geht es nur über Routing in den Servern, oder?
Jetzt sieht der Aufbau nochmals etwas anders aus (siehe Bild).
Es sind Clients die mit Server 1 direkt verbunden sind und über LDAP eine Authentifizierung am DC von Server 3 machen wollen.
Kann ich da jetzt einfach an Server 1 und Server 2 ein Routing einstellen und es sollte funktionieren?
Oder gibts doch noch andere Möglichkeiten?
Routing: ja.
Firewall Regeln: ja.
Und nochmal:
Beim Zugriff auf den Verzeichnisdienst des DC via LDAP muss der Benutzer sich authentifizieren. Er muss also entweder an einem Domain Member mit einem Domain User angemeldet sein und aus dieser Sitzung auf den Verzeichnisdienst zugreifen oder beim LDAP-Bind die Anmeldedaten mitgeben. Diese Authentifizierung gilt dann aber ausschließlich für diesen Zugriff auf den Verzeichnisdienst via LDAP. Das hat nichts, aber auch gar nichts mit der Authentifizierung des Benutzers am Client zu tun.
Firewall Regeln: ja.
Und nochmal:
über LDAP eine Authentifizierung am DC
Was immer Du darunter verstehst ...Beim Zugriff auf den Verzeichnisdienst des DC via LDAP muss der Benutzer sich authentifizieren. Er muss also entweder an einem Domain Member mit einem Domain User angemeldet sein und aus dieser Sitzung auf den Verzeichnisdienst zugreifen oder beim LDAP-Bind die Anmeldedaten mitgeben. Diese Authentifizierung gilt dann aber ausschließlich für diesen Zugriff auf den Verzeichnisdienst via LDAP. Das hat nichts, aber auch gar nichts mit der Authentifizierung des Benutzers am Client zu tun.
Zitat von @emeriks:
Routing: ja.
Firewall Regeln: ja.
Und nochmal:
Beim Zugriff auf den Verzeichnisdienst des DC via LDAP muss der Benutzer sich authentifizieren. Er muss also entweder an einem Domain Member mit einem Domain User angemeldet sein und aus dieser Sitzung auf den Verzeichnisdienst zugreifen oder beim LDAP-Bind die Anmeldedaten mitgeben. Diese Authentifizierung gilt dann aber ausschließlich für diesen Zugriff auf den Verzeichnisdienst via LDAP. Das hat nichts, aber auch gar nichts mit der Authentifizierung des Benutzers am Client zu tun.
Hi,Routing: ja.
Firewall Regeln: ja.
Und nochmal:
über LDAP eine Authentifizierung am DC
Was immer Du darunter verstehst ...Beim Zugriff auf den Verzeichnisdienst des DC via LDAP muss der Benutzer sich authentifizieren. Er muss also entweder an einem Domain Member mit einem Domain User angemeldet sein und aus dieser Sitzung auf den Verzeichnisdienst zugreifen oder beim LDAP-Bind die Anmeldedaten mitgeben. Diese Authentifizierung gilt dann aber ausschließlich für diesen Zugriff auf den Verzeichnisdienst via LDAP. Das hat nichts, aber auch gar nichts mit der Authentifizierung des Benutzers am Client zu tun.
es geht darum dass sich ein Programm mit LDAP Anbindung am DC anmelden kann. Bzw. mit einem User aus dem DC die Berechtigung für das Programm freischalten kann.
Passt die Beschreibung von meinem Bild so?
es geht darum dass sich ein Programm mit LDAP Anbindung am DC anmelden kann
Jetzt hast Du es das erste Mal korrekt formuliert.Also wie alles schon geschrieben. Wenn Du im Programm Anmelddaten für den Zugriff auf den LDAP-Dienst angeben kannst, dann geht das mit dem Routing und ohne dass die Clients Domain member sind. Wenn man das nicht im Programm angeben kann, dann muss das Programm in einer bereits authentifizierten Benutzersitzung gestartet werden. Letzteres geht nur, wenn der Client Domain Member ist.
Oder: Du lässt Server1 als TS laufen und die Benutzer melden sich dort per RDP mit einem Domain User an, starten eine Sitzung und können dann in dieser Sitzung auf dem TS das Programm starten.
Jetzt hast Du es das erste Mal korrekt formuliert.
Danke 
.Also wie alles schon geschrieben. Wenn Du im Programm Anmelddaten für den Zugriff auf den LDAP-Dienst angeben kannst, dann geht das mit dem Routing und ohne dass die Clients Domain member sind. Wenn man das nicht im Programm angeben kann, dann muss das Programm in einer bereits authentifizierten Benutzersitzung gestartet werden. Letzteres geht nur, wenn der Client Domain Member ist.
Im Programm können Anmeldedaten weitergegeben werden.Mein erster Gedanke der Umsetzung war eigentlich, dass Server 2 in der Domain ist und dann via Gateway die LDAP Anfragen nach oben und unten weitergeben kann.
Wenn ich das aber richtig verstanden habe geht dieses Szenario nicht.
Oder: Du lässt Server1 als TS laufen und die Benutzer melden sich dort per RDP mit einem Domain User an, starten eine Sitzung und können dann in dieser Sitzung auf dem TS das Programm starten.
Aber hier müsste doch Server 1 auch wieder in der Domain sein? Dann müsste Server 2 die Anfragen auch umleiten/routen, oder?Was wäre wenn ich auf Server 1 z.B. einen weiteren DC mit AD installier, der dann seine User von Server 3 AD holt?
Und die LDAP Anfragen direkt beanworten kann, ohne Routing?
Aber hier müsste doch Server 1 auch wieder in der Domain sein? Dann müsste Server 2 die Anfragen auch umleiten/routen, oder?
Korrekt.Was wäre wenn ich auf Server 1 z.B. einen weiteren DC mit AD installier, der dann seine User von Server 3 AD holt?
Und die LDAP Anfragen direkt beanworten kann, ohne Routing?
Ja, das ginge natürlich. Nur dann stellt sich die Frage, warum Du dann den 1. DC (Server3) hinter 2 FW verstecken willst.Und die LDAP Anfragen direkt beanworten kann, ohne Routing?
