becseb 10 Geschrieben 19. November 2008 Melden Teilen Geschrieben 19. November 2008 Hallo Spezialisten, ich hoffe Ihr könnt mir helfen. Wir haben ein Webserver (w2k3) bei einem externen Provider zu stehen. Bevor man Zugriff auf die Daten hat muss man sich authentifizieren. Bei uns im Haus gibt es eine AD Struktur über die sämtliche User gepflegt werden. Unser Webadmin pflegt seine User aber manuell über lokale Benutzer und Gruppen auf dem Webserver. Vor unserem Netz steht ein ISA Server der auch die DMZ mit den Terminalservern verwaltet. Das Problem: Es soll gewährleistet werden, dass sich der Webserver die Anmeldeinfos aus der AD zieht und so ein SingleSignOn statt findet. Die Rechtevergabe für die Daten auf dem Webserver sind per Gruppen über Ordnerrechte geregelt. Habt Ihr irgendeine Idee?? Danke und Gruß Sebastian Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 19. November 2008 Melden Teilen Geschrieben 19. November 2008 Naja, da gibt es viele verschiedene Varianten mit vielen verschiedenen Vor- und Nachteilen. Eine Variante wäre z.B. ein Site-to-Site VPN mit einem zweiten ISA direkt beim Provider zu machen, und über diese Verbindung nur AD zuzulassen (gibt von MS ein paar nette Whitepapers dazu was man auf der Firewall freigeben muss). Eine weitere Variante wäre das du mit ADAM arbeitest, und die Authentifizierungsinformationen auf den Webserver "raussynchronisierst" - diese Variante hat den grossen Nachteil das die Passwörter etc. der User dann auch auf dem Webserver selbst sind, was ich für ein Sicherheitsrisiko halte. Ganz egal wie du das ganze angehen willst: Sicherheit ist bei einem solchen Projekt sehr kritisch, und du solltest genau abklären was wie wo wann zugelassen ist, vorallem da du bei einem Webserver bei einem externen Provider keine physikalische Sicherheit hast. Zitieren Link zu diesem Kommentar
becseb 10 Geschrieben 19. November 2008 Autor Melden Teilen Geschrieben 19. November 2008 Erstmal Danke für die schnelle Anwort. Die Idee mit dem 2ten ISA hatte ich auch schon. Wurde aber aus Kosten Gründen abgelehnt. ADAM ist auch kein Option, da zu unsicher. Ich dachte an sowas: User meldet sich an, Benutzerdaten werden zur Überprüfung Richtung AD geschickt. Wenn OK von der AD kommt logged sich der User ein und hat anhand seiner Gruppenmitgliedschaft Rechte auf die Ordner. Was mir aber nicht klar ist, kann man AD Gruppen Rechtetechnisch auf Ordner legen wenn der Server kein Memberserver ist und andauernde Verbindung zur AD hat? Was könnte ich für Abfrage nehmen? Sollte ja schon verschlüsselt sein? Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 19. November 2008 Melden Teilen Geschrieben 19. November 2008 Was könnte ich für Abfrage nehmen? Sollte ja schon verschlüsselt sein? Viel Aufwand um nichts - entweder machst du ein VPN oder du musst einen DC ins Internet exponieren (z.B. via LDAP/SSL) - und viel fahrlässiger als letzteres geht es IMHO kaum. Zitieren Link zu diesem Kommentar
becseb 10 Geschrieben 19. November 2008 Autor Melden Teilen Geschrieben 19. November 2008 Würde auch Kerberos funktionieren? Das könnte man ja dann über PHP gut machen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.