9
Windows Server, LDAP, ownCloud und Hardware Token
Moin,
ich möchte auf einem Windows Server den Anwender-Login zusätzlich zum Passwort mit einem Hardware-Token absichern. Das ist - eigentlich - kein Problem und funktioniert auf einem Testsystem ganz wunderbar.
ABER
Das AD des Servers dient auch zur Authentifizierung von Anwendern auf einem ownCloud Server. Sobald ich einem Anwender ein Hardware-Token zuordne, zerreißt es dessen Anmeldung auf dem ownCloud Server. Logisch - wie soll das auch noch funktionieren.
Gibt es eine Möglichkeit, A) die ownCloud Authentifizierung via LDAP auch unter Verwendung von Token sauber einzubinden oder B) dem AD zu sagen, es soll bei Anfragen vom ownCloud Server die Token vergessen?
Danke!
ich möchte auf einem Windows Server den Anwender-Login zusätzlich zum Passwort mit einem Hardware-Token absichern. Das ist - eigentlich - kein Problem und funktioniert auf einem Testsystem ganz wunderbar.
ABER
Das AD des Servers dient auch zur Authentifizierung von Anwendern auf einem ownCloud Server. Sobald ich einem Anwender ein Hardware-Token zuordne, zerreißt es dessen Anmeldung auf dem ownCloud Server. Logisch - wie soll das auch noch funktionieren.
Gibt es eine Möglichkeit, A) die ownCloud Authentifizierung via LDAP auch unter Verwendung von Token sauber einzubinden oder B) dem AD zu sagen, es soll bei Anfragen vom ownCloud Server die Token vergessen?
Danke!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1241885547
Url: https://administrator.de/forum/windows-server-ldap-owncloud-und-hardware-token-1241885547.html
Ausgedruckt am: 22.04.2025 um 16:04 Uhr
9 Kommentare
Neuester Kommentar
Moin,
kann Owncloud nicht auch SSO via Plugin? Dann brauchst du dich dort nicht zusätzlich authentifizieren.
Sollte jedenfalls wohl mit Nextcloud funktionieren.
Gruß
Spirit
kann Owncloud nicht auch SSO via Plugin? Dann brauchst du dich dort nicht zusätzlich authentifizieren.
Sollte jedenfalls wohl mit Nextcloud funktionieren.
Gruß
Spirit
Zitat von @Spirit-of-Eli:
kann Owncloud nicht auch SSO via Plugin? Dann brauchst du dich dort nicht zusätzlich authentifizieren.
kann Owncloud nicht auch SSO via Plugin? Dann brauchst du dich dort nicht zusätzlich authentifizieren.
Danke für den Hinweis. Das ist richtig und für ownCloud gibt es auch ein Plugin.
Allerdings dachte ich, ich könnte das etwas 'billiger' haben. Um das ans Laufen zu bringen, muss erstmal auf dem Server ADFS eingerichtet werden. Alles kein Hexenwerk, aber auch nicht gerade trivial und - vor allen Dingen - ein weiterer Punkt an dem dann zukünftig Dinge schiefgehen können.
Ich werde mal versuchen, das auf einem Testserver einzurichten. Ich wäre aber weiterhin für Tipps dankbar, wie ich mit weniger Aufwand ans Ziel kommen könnte.
Habt ihr ne Azure Hybrid Konfig? Dann ist ADFS nicht nötig.
Nein, alles lokal.
Moin,
Wobei dir gesagt sei, dass es mit einem Server mit der AD FS Rolle nicht getan ist. Du brauchst mindesten einen weiteren Server mit der Web Application Role (WAP). Diesen Server auf jeden Fall in die DMZ stellen. Und dann wären da noch die Zertifikate. Einmal für das Signing vom ADFS und damit auch für ownCloud. Damit verbunden muss auch die Sperrliste der CA (am einfachsten CRL, kein OCSP) für den OwnCloud Server erreichbar sein.
Dann ist aber nicht gewährleistet, dass die Token auch supportet werden. Je nach Hersteller ist dafür eine Software + ein Plugin für AD FS erforderlich. Was nochmals mindestens einen Server + Lizenzgebühren mit sich bringt.
Alles nicht so einfach, vieles auch nicht günstig.
Gruß,
Dani
Allerdings dachte ich, ich könnte das etwas 'billiger' haben. Um das ans Laufen zu bringen, muss erstmal auf dem Server ADFS eingerichtet werden. Alles kein Hexenwerk, aber auch nicht gerade trivial und - vor allen Dingen - ein weiterer Punkt an dem dann zukünftig Dinge schiefgehen können.
heutzutage muss nicht nur schick und funktional, sondern auch sicher sein. Wer A sagt muss auch B sagen.Wobei dir gesagt sei, dass es mit einem Server mit der AD FS Rolle nicht getan ist. Du brauchst mindesten einen weiteren Server mit der Web Application Role (WAP). Diesen Server auf jeden Fall in die DMZ stellen. Und dann wären da noch die Zertifikate. Einmal für das Signing vom ADFS und damit auch für ownCloud. Damit verbunden muss auch die Sperrliste der CA (am einfachsten CRL, kein OCSP) für den OwnCloud Server erreichbar sein.
Dann ist aber nicht gewährleistet, dass die Token auch supportet werden. Je nach Hersteller ist dafür eine Software + ein Plugin für AD FS erforderlich. Was nochmals mindestens einen Server + Lizenzgebühren mit sich bringt.
Alles nicht so einfach, vieles auch nicht günstig.
Gruß,
Dani
Zitat von @Dani:
Wobei dir gesagt sei, dass es mit einem Server mit der AD FS Rolle nicht getan ist. Du brauchst mindesten einen weiteren Server mit der Web Application Role (WAP). Diesen Server auf jeden Fall in die DMZ stellen. Und dann wären da noch die Zertifikate. Einmal für das Signing vom ADFS und damit auch für ownCloud. Damit verbunden muss auch die Sperrliste der CA (am einfachsten CRL, kein OCSP) für den OwnCloud Server erreichbar sein.
Für LDAPS haben wir so oder so schon ein Let's Encrypt Zertifikat. Das passt auch für ADFS. Und damit erübrigt sich auch das Problem der Sperrliste. Wofür wir noch einen weiteren Server mit WAP brauchen sollten, erschließt sich mir nicht. Meine Testkonfiguration jedenfalls funktioniert bestens ohne - zumindest mit Microsofts Claims X-Ray.Wobei dir gesagt sei, dass es mit einem Server mit der AD FS Rolle nicht getan ist. Du brauchst mindesten einen weiteren Server mit der Web Application Role (WAP). Diesen Server auf jeden Fall in die DMZ stellen. Und dann wären da noch die Zertifikate. Einmal für das Signing vom ADFS und damit auch für ownCloud. Damit verbunden muss auch die Sperrliste der CA (am einfachsten CRL, kein OCSP) für den OwnCloud Server erreichbar sein.
Wie dem auch sei, danke für die Hinweise, aber das Projekt ist abgebrochen. Der Microsoft Teil ist einfach, aber der ownCloud Teil ist nach genauerer Ansicht der Dokumentation eher eine Katastrophe. Das wird sicherlich funktionieren, aber die gefühlten 100 Meter Scrolllänge durch die Dokumentation für jeweils den Apache- und den Plugin-Teil der Übung lassen mich daran zweifeln, ob wir das unfallfrei hinkriegen. Und - wie ich schon an anderer Stelle schrieb - ich befürchte, wir würden uns eine weitere wartungstechnische Schwachstelle ans Bein binden.
Moin,
Gruß,
Dani
Das passt auch für ADFS. Und damit erübrigt sich auch das Problem der Sperrliste.
ich rede nicht von der Serverauthentification, sondern von Signing. Das sind zwei Paar Stiefel und da wird ein LE Zertifikat nicht passen - versprochen.Wofür wir noch einen weiteren Server mit WAP brauchen sollten, erschließt sich mir nicht. Meine Testkonfiguration jedenfalls funktioniert bestens ohne - zumindest mit Microsofts Claims X-Ray.
Haben wir noch. Ist aber weder sicher noch empfohlen. Und die Angriffsfläche wird nicht kleiner, sondern noch größer. Schau dir alle Empfehlungen an (Link)... das ist ein NoGo.Der Microsoft Teil ist einfach, aber der ownCloud Teil ist nach genauerer Ansicht der Dokumentation eher eine Katastrophe
Hast du den Link dazu? Weil wir haben mehrere NextCloud Instanzen angebunden. Da ist auf Betriebssystem oder Apache nichts einzurichten. Alle Einstellungen sind ausschließlich im SSO Plugin vorzunehmen. Ist auch eine Sache von 15 Minuten. Würde mich einfach mal interessieren, ob die Unterschiede so gravierend sind.Gruß,
Dani
Moin,
danke dir für die Links.
Das ist eine "seltsame" Realisierung von SSO in ownCloud. Gerade wenn es auf einem Webhosting Paket läuft, kannst du nicht direkt in das System eingreifen.
Naja, falls du nochmals einen Versuch startest, versuche es mit NextCloud.
Gruß,
Dani
danke dir für die Links.
Das ist eine "seltsame" Realisierung von SSO in ownCloud. Gerade wenn es auf einem Webhosting Paket läuft, kannst du nicht direkt in das System eingreifen.
Naja, falls du nochmals einen Versuch startest, versuche es mit NextCloud.Gruß,
Dani
