brainmark 0 Geschrieben 28. Juli 2014 Melden Teilen Geschrieben 28. Juli 2014 Moin, moin.Nach mehreren Tagen der erfolglosen Google-Suche und Forum-Suche, stelle ich hier mal meine Frage und hoffe, das jemand eine Lösung oder einen Tipp hat. Wir haben bei uns im Unternehmen eine Windows Domäne mit AD auf einem Server2003.Zusätzlich wurde ein Server2008 (eigenständige Domäne) aufgesetzt, auf dem ein IIS läuft.Auf dem IIS läuft ein Webshop.Nun möchte mein Chef gerne, das sich Benutzer noch vor dem Zugriff auf den Webshop authentifizieren müssen.Quasi eine .htaccess Abfrage mit dem IIS. So soll verhindert werden, das User, die keine Berechtigung für den Webshop haben, drauf zugreifen können.Verwirrende Sache, ich weiß aber leider ist das so von der Firmenleitung gewünscht und eine explizite Benutzerauthentifizierung ist in dem Webshop nicht vorgesehen.Zur Authentifizierung müsste nun der 2008'er Server die Benutzerdaten von dem 2003'er Server abfragen, ohne jedoch in der gleichen Domäne zu sein (eine Vertrauensstellung ist nicht möglich (Datenschutz)). Eine Möglichkeit wäre die LDAP-Abfrage. Nur daran beiße ich mir jetzt schon seit einigen Wochen die Zähne aus.Eine Verbindung über ldp.exe klappt vom Server08 auf Server03 ohne Probleme.Die Passwortrabfrage beim IIS eintragen ist ja einfach und eine lokales Konto kann sich da auch locker anmelden und bei Berechtigung auf den Webshop zugreifen.Allerdings schlagen bis jetzt alle Versuche fehl, wenn ich mich versuche mit einem Konto anzumelden, das nur auf dem 2003'er Server existiert. Hat jemand einen Tipp wie das klappen könnte?Ich sehe den Wald vor lauter Bäumen schon nicht mehr und drehe mich irgendwie im Kreis. Bin für jeden Tipp dankbar. Danke für Eure Mühe! Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 28. Juli 2014 Melden Teilen Geschrieben 28. Juli 2014 (bearbeitet) Moin und Willkommen an Board Ich hselbst habe es nicht gemacht, aber unsere entwickler, ich hab dazu folgendes in unseren Admin-howTos entdeckt. Das bezIht sich allerdings auf Apache ###############schnipp Apache zum AutoLogin bringen-----------------------------1) Die mod_auth_sspi.so-Datei in den Apache-Ordner "modules" kopieren2) Die Apache http.conf-Datei so ganz am Ende ergänzen:LoadModule sspi_auth_module modules/mod_auth_sspi.so<Directory "C:/XAMPP/htdocs/Seitenname"> 'Seitenname ist zB Intranet AllowOverride None Options None Order allow,deny Allow from all AuthName "SSPI" AuthType SSPI SSPIAuth On SSPIAuthoritative On SSPIDomain Domänenname SSPIOmitDomain Off SSPIOfferBasic Off require valid-user</Directory>3) Dabei das Verzeichnis (Directory) auf den korrekten Web-Bereich lenken.4) Die Datei „libsasl.dll“ muss vonC:\xampp\php nach C:\xampp\apache\binVerschoben werden.5) In der Datei php.iniC:\xampp\php\php.inimuss Kommentierung vor folgender Zeile entfernt werdenextension=php_ldap.dll6) Apache neu starten7) Mit Apache/PHP folgendes Script testen:<?phpecho $_SERVER['REMOTE_USER'];?>--> Ihr solltet nun Euren Windows-Anmeldenamen dort im Fenster sehen. Zuvor seht ihr die Doamin. Wenn nicht, bitte diese Schritte überprüfen und dann Alex ansprechen. bearbeitet 28. Juli 2014 von micha42 Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 28. Juli 2014 Melden Teilen Geschrieben 28. Juli 2014 Hi micha42, das ist ja gut und schön, aber gefragt war eine Lösung für den IIS. @OP: Welche genauen Gründe sprechen gegen eine einseitige (!) Vertrauensstellung? Die vergibt doch keine Rechte, sondern erlaubt Euch, den Konten der anderen Domäne Rechte vergeben zu können. Ansonsten kannst Du eine formularbasierende Authentifizierung einrichten: http://support.microsoft.com/kb/326340/en-us Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 28. Juli 2014 Melden Teilen Geschrieben 28. Juli 2014 (bearbeitet) Das war mir klar, das hab ich ja auch extra betont, abe kann ja sein, dass es den OP dem Lösungsansatz näher bringt, oder er halt den apache nimmt. das ist ja gut und schön, aber gefragt war eine Lösung für den IIS. bearbeitet 28. Juli 2014 von micha42 Zitieren Link zu diesem Kommentar
brainmark 0 Geschrieben 28. Juli 2014 Autor Melden Teilen Geschrieben 28. Juli 2014 Vielen Dank, für eure Antworten. @micha42: Der Webshop soll laut Hersteller nur auf dem IIS vernünftig funktionieren. Ich habe mich auch schon gefragt, was das soll aber irgendwann resigniert man, wenn der Hersteller nur mit halbgaren Antworten kommt.Deswegen kommt der Apache leider nicht in Betracht. Die Apache-Lösung werde ich mir aber auf jeden Fall abspeichern, kann ich bestimmt noch mal brauchen!@Daniel-MSFT-:Die zuständige Abteilung sträubt sich vor Vertrauensstellungen. Egal ob transitiv oder einseitig. Das war auch mein erster Gedanke, als ich von dem Projekt hörte. Vertrauensstellung und läuft.Laut deren Aussage hat das irgendwas mit Datenschutz oder sonstigen Sicherheitsbedenken zu tun. Die sind, soweit es ihre Server angeht, extrem pingelig. Ich werde die Tage noch mal bei der Abteilung vorstellig werden und die bezüglich des Problems ansprechen. Kann ja nicht sein, dass das so unnötig kompliziert sein muss.Aber eine LDAP-Authentifizierung müsste doch theoretisch zwischen dem 08'er und dem 03'er klappen. Ob mit BasicAuth oder WindowsAuth der muss ich etwa doch ASP lernen? Na hoffentlich kein ASP! ;) Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 28. Juli 2014 Melden Teilen Geschrieben 28. Juli 2014 Basic Auth geht imho nur gegen die lokale Windows-Kontendatenbank bei den Versionen. Als Mitglied der Domäne gehen darüber auch Domänenkonten und mit Vertrauensstellung andere Domänen. Kannst der Abteilung ja mal das Konzept einer Resourcendomäne vorstellen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.