TwentySixer 0 Geschrieben 10. August 2017 Melden Teilen Geschrieben 10. August 2017 Hallo zusammen, ich habe folgendes Problem: Es existiert eine Domäne A. In der Domäne A eine Gruppe X die einige Nutzer der Domäne A beinhaltet. Es existiert eine unidirektionale Vetrauensstellung zu einer Domäne B. In der Domäne B eine Gruppe Y die Gruppe X der Domäne A beinhaltet. Nun möchte ich eine Anwendung gegen Domäne B per LDAP authentisieren und zwar nur für Nutzer die in Gruppe X der Domäne A sind also in Gruppe Y, da Gruppe Y ja Gruppe X implizit beinhaltet. Hintergrund ist das die Nutzerzuordnung in Domäne A zentral gepflegt werden soll. Jetzt habe ich das Problem einen korrekten LDAP Suchstring zu definieren. Quasi muß ich den DC der Domäne B ja fragen, ist der Nutzer Z Mitglied der Gruppe Y, dann sollte er den Baum ja durchgehen, so mein naiver Ansatz. Ich hoffe ich hab mich verständlich ausgedrückt und jemand kann mein Problem nachvollziehen Vielen Dank für die Hilfe der 26er Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 10. August 2017 Melden Teilen Geschrieben 10. August 2017 Wie sieht dein LDAP-Such-String bisher aus? Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 11. August 2017 Melden Teilen Geschrieben 11. August 2017 Moin, muss denn die Anwendung das selbst per LDAP rausfummeln? Kann sie nicht einfach das Access Token des Users auswerten? Gruß, Nils Zitieren Link zu diesem Kommentar
TwentySixer 0 Geschrieben 14. August 2017 Autor Melden Teilen Geschrieben 14. August 2017 Das ist ja gerade das Problem.Access Token scheidet aus, da es eine Webanwendung hinter einem HAProxy ist. Ich suche ja gerade die Abfrage, gib mir alle Nutzer die in dieser Gruppe sind. Die Gruppe müßte halt rekursiv durchsucht werden. Das es sich aber um eine entfernete Gruppe in einer anderen Domain handelt bin ich da etwas ratlos. Scheinbar geht sowas nicht Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 14. August 2017 Melden Teilen Geschrieben 14. August 2017 Moin, rekursive Abfragen sind m.W. per LDAP nicht möglich, jedenfalls nicht mit einem einzelnen Suchstring. Warum fragst du nicht Domäne A ab, wenn da sowieso die User gepflegt werden sollen? Gruß, Nils Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 14. August 2017 Melden Teilen Geschrieben 14. August 2017 Doch Nils das geht. Habe ich schon mehrfach genutzt. Stichwort LDAP_MATCHING_RULE_IN_CHAIN https://msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx 1 Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 15. August 2017 Melden Teilen Geschrieben 15. August 2017 (bearbeitet) Moin, ach, kiek an, wieder was gelernt, danke! EDIT: Wie ich gerade sehe, gibt es das schon seit Windows 2003. Seltsam, dass mir das noch nicht untergekommen ist. Dieses Wissen scheint nicht allzu verbreitet zu sein, denn mit dem Operator dürften sich zahlreiche externe Implementierungen rekursiver Auflösungen erübrigen. Interessant, muss ich bei Gelegenheit mal probieren. Bleibt aber die Frage, warum der TO nicht einfach direkt die Userbasis abfragt. Gruß, Nils bearbeitet 15. August 2017 von NilsK Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 15. August 2017 Melden Teilen Geschrieben 15. August 2017 Auflösungen gegen einen Windows LDAP sind damit trivial. Bei einem Kunden war es mal ein anderer LDAP, da habe ich mir mit der Notation echt einen abgebrochen bis es funktioniert hat. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.