benno 10 Geschrieben 28. Juni 2010 Melden Teilen Geschrieben 28. Juni 2010 Hallo Leute, ich bin gerade dabei herauszufinden in wie weit man Anmeldeinformationen aus einem 2003 Active Directory Server herausbekommen, wenn ein Benutzer sich über einen "Radius Server" Authentifiziert? geht das überhaupt, wenn ja, welches Attribut ist hier verantwortlich? Danke schon mal für einen Tipp von Euch. Gv, Benno Zitieren Link zu diesem Kommentar
benno 10 Geschrieben 28. Juni 2010 Autor Melden Teilen Geschrieben 28. Juni 2010 ...schon jemand eine Idee? GvB Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 28. Juni 2010 Melden Teilen Geschrieben 28. Juni 2010 Hallo, sorry das ist etwas sehr unspezifisch, kannst Du nochmal beschreiben, was Du genau machen willst? Wenn Du meinst, dass ein Benutzer sich über Radius authentifiziert, meinst du damit den AD-integrierten IAS / NPS Radius? Und welche Information ist das, die Du genau herausbekommen willst? Anmeldenamen? Der müßte dem Benutzer ja bekannt sein, denn sonst hätte er sich nicht authentifizieren können. Oder willst generell Informationen anderer Objekte aus dem AD auslesen? Du siehst: Fragen über Fragen... Gruß, Philipp Zitieren Link zu diesem Kommentar
benno 10 Geschrieben 28. Juni 2010 Autor Melden Teilen Geschrieben 28. Juni 2010 Hallo Philipp, erst mal vielen Dank für dein Feedback. Ich vermute der Rdius Server ist nicht der AD-Server. Ich werde versuchen Morgen mehr Informatioenen heraus zu bekommen, da das Netz recht gross ist hier und ich nur ein externer bin. Es sollen Informationen der Benutzeranmeldung herausgefunden werden. Danke noch mal & viele Grüße, Benno Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 29. Juni 2010 Melden Teilen Geschrieben 29. Juni 2010 Hallo, also wenn ich das so verstehen soll, dass Du wissen willst, ob und wann ein Benutzer im AD authentisiert wurde, dann ist es so, dass ALLE Anmeldungen, egal über welchen Kanal (Ctrl-Alt-Del an einer Station oder einem Server, NET USE übers Netz, über Radius gegen AD, pure LDAP-Verbindungen über Script etc. etc.) immer in den entsprechenden Attributen im Ad hinterlegt werden: lastLogon und lastLogonTimestamp. Es sind jedoch einige Details bei diesen Attributen zu beachten, schau am besten mal hier nach: SelfADSI : Attribute für AD User - lastLogon SelfADSI : Attribute für AD User - lastLogonTimestamp und das hier: SelfADSI : Microsoft Timestamp / Interval Attribute mit Integer8 Syntax Gruß, Philipp Zitieren Link zu diesem Kommentar
benno 10 Geschrieben 29. Juni 2010 Autor Melden Teilen Geschrieben 29. Juni 2010 Hallo Philipp, so wie ich das verstanden habe, werden MAC Adresse zur VPN Einwahl über einen Switch, dann über den Radius zur AD und im AD gibt es eine OU mit einer Liste von erlaubten MAC Adressen. Ziel ist es die MAC Adressen gelegentlich zu prüfen, ob diese noch Aktiv ist. Wenn diese länger als 90 Tage kein logon durchgeführt hat, soll diese gelöscht werden. Die Information ist nicht im "LastLogon" zu finden. Ich habe gerade gelesen, dass ein Attribut "AccessRequest" auch geschrieben wird. Wie und wo kann ich die Auslesen? Danke schon mal für Eure Unterstützung. GvB Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 5. Juli 2010 Melden Teilen Geschrieben 5. Juli 2010 Hallo benno, hmm, also ein "AccessRequest" ist bei den Standard-Attributen von AD nicht dabei, wird das vielleicht durch die Installation der Radius-Umgebung durch eine Schema-Erweiterung hinzugefügt? Von weitem ist es schwer zu sagen, wie Du damit umgehen sollst... Du mußt mal mit einem LDAP Browser (ADSIEdit, LEX, Softerra, etc.) direkt nachschauen, ob dieses Attribut bei Euren Benutzern vorhanden ist... Dann läßt es sich auch auslesen, z.B. mit einem Script oder mit DSQUERY. Gruß, Philipp Zitieren Link zu diesem Kommentar
worel 10 Geschrieben 31. August 2010 Melden Teilen Geschrieben 31. August 2010 Hallo! Ich möchte das Thema nochmals aufgreifen weil es bei mir gerade aktuell ist bzw. ich aufgrund der bisherigen Antworten noch nicht weiß ob das auch funktioniert. Mittels mOTP habe ich einen FreeRadius Server installiert. Es gibt für Handhelds diverse mOTP Applikationen welche mir ein One Time Passwort erstellen, welches mittels Radius mit dem Server abgeglichen werden. Funktioniert auch bestens, diverse Logins welche die Userauthentifizierung über den Radius Server fahren habe ich schon hinbekommen. Jetzt zur Frage: Kann ich diesen Radius Server irgendwie ins Active Directory einbinden? Dass also die Anmeldungen an der Domäne über die "Passwortverwaltung" des Radius fährt wo ich ja die OTP Lösung habe? Ich weiß, es gibt genügend OTP Middleware für die Einbindung ins AD, die aber eben Geld kostet. Funktioniert das nicht auch anders? LG Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.