SID History

[felix83 10]

Hallo,

 

ich habe eine Frage zum Thema SID History. In meiner Firma sollen demnächst einige Web-Anwendungen getestet werden, unzwar geht es darum zu erkennen, ob ein Benutzer der Domäne-A dem Benutzer der Domäne-B bei jener Web-Anwendung das Einloggen erlaubt bzw. erkennt das es derselbe Benutzer ist. Vorerst wird der Benutzer der Domäne-A in der Web-Anwendung freigeschaltet und man versucht mit dem User der Domäne-B einzuloggen.

Wenn das Einloggen klappt -> dann funktioniert die SID-History!

 

Nun meine Frage: Woran erkenne ich ob die Web-Anwendung einen User gegen AD authentifiziert oder diese lokal in DB eingepfegt wurden:confused:?

 

Erkennt man das daran, wenn eine Windowskennung für die Webanwendung verwendet wird oder das der User ohne Eingabe von Benutzernamen und PW eingeloggt bzw. automatisch erkannt wird? Mir ist leider auch nicht ganz klar, wie man die Funktion von SID-History realisiert, falls der Login an einer Anwendung nicht funktionieren sollte.

 

Am Ende sind es doch mehrere Punkte als nur eine Frage.. aber ich hoffe dass ich mein Verständisproblem im groben darstellen konnte. Danke!

[zahni 540]

Hallo und willkommen im Forum.

 

Ich verstehe in dem Zusammenhang leider den Begriff "SID-History" nicht. Die SID-History kenne ich eigentlich nur im Zusammenhang von Domänenmigrationen von Windows NT Domänen in das Active Directory.

 

Beschreibe doch bitte exakt, was Du für eine Webanwendung bereistellen willst, mit welchem (Web-)Server und wie das mit Domäne A & B gemeint ist.

Es kann übrigens keine Benutzer geben, die in Domäne A & B identisch sind. Die haben immer andere SID's. Sowas kannst Du nur mit einem Trust regeln.

Auch sind lokale Konten nicht mit Konten in der Domäne identisch, selbst wenn die Konten den gleichen Namen verwenden.

[jarazul 10]

Du erkennst das, in dem du die Web-Anwendung oder den dazugehörigen Domain Controller analysierst.

 

Wurden die Benutzerkonten von Domäne A irgendwann einmal zu B kopiert, oder umgekehrt? Die SID-History ist ein User-Attribut das oft bei Migrationen eingesetzt wird. Wenn ihr keine Migration gemacht habt, habt ihr wahrscheinlich auch kein gesetztes SID-Attribut bei den Usern. Ob es vernünftig wäre, ein Authentifizierungsproblem mittels manuellem SID-History transfer zu lösen, bezweifle ich ganz stark.

 

Das Problem liegt bei der Web-Anwendung. Du kannst versuchen der Anwendung beizubringen mittels Kerberos zu authentifizieren oder, du schaust dir das AD FS an wenn zwischen den Domänen kein Trust besteht. Das wurde genau aus diesem Grund entwickelt.

 

Erzähl uns doch ein bisschen mehr z.b Haben die Domänen einen Trust? Wurde die Objekte der einen Domäne seiner Zeit zu der anderen migriert? Sind es selbst programmierte Web-Anwendungen?

 

cheers, Daniel