Jump to content

LDAP Zugriff aus DMZ


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

für einen Spamfilter (Postfix in DMZ) brauche ich eine aktuelle userliste mit e-mail Adressen. Das wollte ich mit AD LDS realisieren.

 

Zum zweiten wollten wir eventuell einen Webservice in der DMZ installieren. Dieser bietet auch die Möglichkeit sich an LDAP zu authentifizieren. Nur sollen ja natürlich nicht die Passwörter in der DMZ liegen.

 

Kann man das über den AD LDS mit der LDAP Proxy Funktion machen oder kann man das anders machen oder sollte man das gar nicht machen?

Link zu diesem Kommentar

Hallo,

 

also grundsätzlich wäre es nicht ratsam, Verzeichnis-Informationen in der DMZ zu halten - auch wenn es sich dabei nicht um "die Passwörter" handelt, sondern "nur" um AD LDS Proxy-Accounts.

 

Besser (wenn auch nicht so richtig toll) wäre hier ein niedrig privilegierter Account für den Postfix, der über LDAP aufs interne AD lesend zugreifen darf und dort die Infos ausliest... Für den Webservice müßte dann auch eine entsprechende Verzeichins-Authentifizierung von der DMZ in Richtung internes AD "aufgemacht" werden. In beiden Fällen wären also keine Verzeichnis-Daten in der DMZ. Sehr wohl ist jedoch die Öffnung von z.B. LDAP-Ports von der DMZ in Richtung internes Netz notwendig, und das ist nicht so schön... Für den Web-Service evtl. sogar Kerberos, d.h. also noch zusätzliche Ports. Aber AD LDS mit Proxy-Accounts in der DMZ ist noch schlimmer, denn da wäre ja auch eine Authentifizierung zwischen AD LDS und interme Ad notwendig, d.h. wieder: offene Ports in der Firewall von aussen nach innen.

 

Ginge es nur um Postfix, so würde ich einfach per Script regelmäßig eine Text-Datei raushauen, in der alle existierenden User-Mailadressen aufgeführt werden. Diese Datei ladet Ihr dan per SCP auf den Postfix-Hobel, dort wird sie dann als Virtual Table ins Postfix-System eingebunden, ist übrigens auch viel performanter als dauernde LDAP-Abfragen während der Postfix-Queue-Verarbeitung.... Und: Man braucht nur Ports von innen nach aussen in die DMZ zu öffnen! :)

 

Was die Web-Anwendung angeht: Wenn man die offenen Ports partout vermeiden will, müßte man sich vielleicht AD Federation Services anschauen.... das ist eigentlich genau dafür gedacht.

 

Gruß,

Philipp

Link zu diesem Kommentar

Danke schonmal für die Antworten.

 

Also der Postifx ist nicht das Problem. Da kann ich auch die E-Mail Adressen aus dem AD exportieren und auf dem Postfix Server in eine MySQL DB importieren.

 

AD LDS hätte sich da nur angeboten, wie Nils auch schon gesagt hat, weil man die Attribute definieren kann, die exportiert werden sollen. Im Falle von Postifx also die E-Mail Adressen.

 

Den AD FS halte ich für etwas übertrieben. Und soweit ich das verstanden habe, ist der ja auch für externe Partner, Lieferanten,.. gedacht und auch nicht ohne weiteres für jede Webanwendung geeignet (Microsoft spricht hauptsächlich von SharePoint).

 

Und da es sich bei uns auch nicht um eine selbstentwickelte Anwendung handelt, kann man da auch den Code nicht anpassen.

 

Unsere internen User sollen sich in dieser Webanwendung authentifizieren können (mittels LDAP oder SSO). Das soll nicht nur von Intern sondern auch von extern möglich sein.

 

Also ist wohl mal wieder der Königsweg zwischen Nutzen und Sicherheit gefragt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...