niesfisch 10 Geschrieben 6. November 2008 Melden Teilen Geschrieben 6. November 2008 Hallo, wir nutzen einen extern gehosteten (SSL-)Webdienst der Authentifizierung erfordert und eine LDAP sowie Radius Schnittstelle dafür anbietet. Wir möchten dass sich alle Nutzer unseres ADs an dieser Webseite anmelden können. Die Herausforderung ist nun, wie man den Tunnel ins eigene LAN und damit letztlich ins AD schlägt. Dafür suche ich Lösungsansätze. Komplexe Verfahren wie shibboleth oder AD FS werden von Diensteanbieter nicht unterstützt und wären vielleicht auch die Kanonen auf die Spatzen... Danke für eure Vorschläge! Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 6. November 2008 Melden Teilen Geschrieben 6. November 2008 Hi, was genau ist Deine Frage? ;) Soll heißen, was genau meinst Du mit "Tunnel" und "Lösungsansätze" - möchtest Du Hinweise zum Netzwerk selbst, zur Sicherheit oder ... oder ...? :) Alternativ könntet Ihr auch einmal über ADAM / AD LDS nachdenken - wenn die Applikation ausschließlich LDAP nutzt, wäre dies vielleicht eine Alternative entgegen dem Öffnen Eures internen Netzwerkes. Viele Grüße olc Zitieren Link zu diesem Kommentar
niesfisch 10 Geschrieben 7. November 2008 Autor Melden Teilen Geschrieben 7. November 2008 Die genaue Frage wäre wie ich die Authentifizierung über das bestehende AD hinbekomme, ich bin für alle grundsätzlichen Vorschläge offen. Es sind mehrere tausend Nutzer die die Webseite nutzen können sollen, natürlich mit den gleichen Kennungen "wie immer". Systeme wie ADAM sind doch wieder eigenständige Verzeichnisse, oder? Einfachste Lösung wäre LDAP(S) simple Bind direkt auf einen DC mit selektiven NAT über eine offizielle IP Adresse auf den internen DC. Gefällt mir aber nicht so recht und ich bin auf der Suche nach Alternativen. Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 7. November 2008 Melden Teilen Geschrieben 7. November 2008 Moin, mir würde da auch am ehesten ADAM in den Sinn kommen. Das ist ein separates LDAP-Verzeichnis (genau das ist ja der Witz daran!), das du aber mit dem AD synchronisieren kannst. Gruß, Nils Zitieren Link zu diesem Kommentar
niesfisch 10 Geschrieben 7. November 2008 Autor Melden Teilen Geschrieben 7. November 2008 Moin, mir würde da auch am ehesten ADAM in den Sinn kommen. Das ist ein separates LDAP-Verzeichnis (genau das ist ja der Witz daran!), das du aber mit dem AD synchronisieren kannst. Gruß, Nils OK, der Synchronisationsvorgang müsste dann aber ein ständiger Prozess sein, das z.B. Kennwortänderungen und neue Konten/Kontensperrungen ständig abgeglichen sind. Leistet ADAM dies? Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 7. November 2008 Melden Teilen Geschrieben 7. November 2008 Moin, "ständig abgeglichen" ist relativ. Je nach Struktur kann das auch AD selbst nicht leisten. Alles eine Frage der Anforderungen. Aber: ich habe jetzt erst wahrgenommen, dass bei eurem DL auch RADIUS möglich ist. Das dürfte doch eher eine Variante sein. Von einem "Tunnel ins LAN" würde ich absehen. Vor allem, wenn es mal eben um die AD-Anmeldung geht. Dafür wurde doch u.a. RADIUS erfunden. Gruß, Nils Zitieren Link zu diesem Kommentar
niesfisch 10 Geschrieben 7. November 2008 Autor Melden Teilen Geschrieben 7. November 2008 Und für Radius den IAS bzw. IAS Proxy nutzen? Nochmal zum ADAM, klar muss hier nicht in Echtzeit synchronisiert werden, aber in angemessenen Abständen muss schon Synchronität hergestellt werden. Ich wollte damit nur sagen das eine manuelle Einmalsynchronisierung nicht nützt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.