haiflosse 10 Geschrieben 29. August 2017 Melden Teilen Geschrieben 29. August 2017 Ich möchte eine externe Anwendung mit PHP erstellen, wo ich die Zugangsdaten vom Windows Server 2012 R2 nutzen möchte. Dazu habe ich hier erfahren, dass ich dies mit einer LDAP Authentication durchführen kann. Wo finde ich diese Zugangsdaten am Windows Server 2012 R2. Vielen Dank für eine Antwort Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 29. August 2017 Melden Teilen Geschrieben 29. August 2017 Hi, dein bzw. einer deiner Windows Server 2012 R2 stellt aber schon die Active Directory Domänen Dienste bereit? Gruß Jan Zitieren Link zu diesem Kommentar
haiflosse 10 Geschrieben 29. August 2017 Autor Melden Teilen Geschrieben 29. August 2017 Hi, dein bzw. einer deiner Windows Server 2012 R2 stellt aber schon die Active Directory Domänen Dienste bereit? ja. Bei der LDAP Authentifizierung bei PHP benötige ich folgende Daten: $ldaprdn = 'uname'; // ldap rdn oder dn $ldappass = 'password'; // entsprechendes password // verbinden zum ldap server $ldapconn = ldap_connect("ldap.example.com") uname und Password nehme ich an, dass ich da meine Adminzugänge verwenden kann. Wo finde ich aber den Namen des ldap Servers, so dass er auch von extern erreichbar ist. Danke nochmals Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 29. August 2017 Melden Teilen Geschrieben 29. August 2017 nein genau die solltest du dafür NICHT verwenden, sondern dir einen NORMALEN User anlegen. Den DN (Distinguished Name kannst du dann bspw. im Attribute Editor rauskopieren). Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 29. August 2017 Melden Teilen Geschrieben 29. August 2017 Moin, Wo finde ich aber den Namen des ldap Servers, so dass er auch von extern erreichbar ist. falls du damit meinst, dass du deine PHP-Anwendung und dein AD über das Internet erreichbar machen willst: Holzweg. Das macht man so nicht. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 29. August 2017 Melden Teilen Geschrieben 29. August 2017 Danke, das wollte ich auch noch schreiben. :) Zitieren Link zu diesem Kommentar
haiflosse 10 Geschrieben 29. August 2017 Autor Melden Teilen Geschrieben 29. August 2017 Hallo! Danke für die Antwort. Den Distinguished Name habe ich über den Attribut Editor gefunden - danke. Wie kann ich dann aber korrekt auf die Logindaten eines AD von einer PHP Anwendung zugreifen, da mir eine LDAP Authentication vorgeschlagen wurde? Dachte ich benötige da nur noch den ldap Servernamen! Danke nochmals Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 29. August 2017 Melden Teilen Geschrieben 29. August 2017 Moin, eine Anwendung, die über das Internet zugänglich gemacht wird, steht augenblicklich unter Beschuss. Es ist sehr wahrscheinlich, dass Hacker (solche von der "automatisierten" Sorte) sie angreifen und damit erfolgreich sind, wenn man nicht umfassende Maßnahmen dagegen ergreift. Zu solchen Maßnahmen gehört eine strikte Netzwerktrennung. Eine vom Internet erreichbare Anwendung darf nicht direkt auf ein internes AD zugreifen, in dem "normale" produktive Anmeldedaten gespeichert sind. Wer den Webserver mit der Anwendung gekapert hat, hat sonst direkten Durchgriff auf das AD - insbesondere wenn der PHP-Code die Anmeldedaten auch noch auf dem Silbertablett serviert. Für Anwendungen, die aus dem Internet erreichbar sein, aber trotzdem eine AD-Anmeldung unterstützen sollen, gibt es andere Techniken wie SAML oder OAuth. Aber auch solche Anwendungen müssen mit modernen Sicherheitstechniken entwickelt und durch eine leistungsfähige Infrastruktur geschützt werden, alles andere wäre grob fahrlässig. Selbst wenn es sich nur um eine interne Anwendung handelt, ist der genannte Beispielcode für die LDAP-Anmeldung eben nur ein Beispiel und entspricht nicht heutigen Sicherheitsanforderungen. Auf keinen Fall verwendet man für sowas administrative Zugänge. Gruß, Nils Zitieren Link zu diesem Kommentar
haiflosse 10 Geschrieben 29. August 2017 Autor Melden Teilen Geschrieben 29. August 2017 Hallo Nils! Vielen Dank für die ausführliche Erklärung. Gibt es dann eine Möglichkeit die Logindaten inkl. Passwort in eine Datei zu exportieren bzw. einer mysql Datenbank zur Verfügung zu stellen, so dass ich dann die Zugangsdaten verwenden kann. Danke nochmals Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 29. August 2017 Melden Teilen Geschrieben 29. August 2017 Ich kann mich Nils nur anschließen. Wenn du an der Stelle schon Probleme hast, solltest du sowas auf keinen Fall ins Internet hängen. Das kann nur schiefgehen. Welche Art Anwendung ist das überhaupt? Hallo Nils! Vielen Dank für die ausführliche Erklärung. Gibt es dann eine Möglichkeit die Logindaten inkl. Passwort in eine Datei zu exportieren bzw. einer mysql Datenbank zur Verfügung zu stellen, so dass ich dann die Zugangsdaten verwenden kann. Danke nochmals Das verlagert das Problem doch nur "geringfügig" von einer unsicheren Art aufs AD zuzugreifen auf eine "unsichere" MySQL DB mit unsicherem Sync-Mechanismus. Das wurde dir aber im anderen Thread auch schon mitgeteilt afair. Bye Norbert Zitieren Link zu diesem Kommentar
haiflosse 10 Geschrieben 29. August 2017 Autor Melden Teilen Geschrieben 29. August 2017 (bearbeitet) Es handelt sich um einen Schulserver und ich möchte eine weitere Anwendung (php/mysql), worüber sich die Schüler anmelden können und ich dann Testergebnisse, Noten, Kursanmeldungen u.s.w. zur Verfügung stellen möchte. Was wäre dann noch eine gute Alternative. Danke nochmals bearbeitet 29. August 2017 von haiflosse Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 29. August 2017 Melden Teilen Geschrieben 29. August 2017 Weil Schüler ja als pflegeleichteste Klientel gelten und nie irgendwie anfangen "rumzuprobieren" ob der Admin was von seinem Job versteht? Was sagt denn der Hersteller der Anwendung dazu? Zitieren Link zu diesem Kommentar
haiflosse 10 Geschrieben 29. August 2017 Autor Melden Teilen Geschrieben 29. August 2017 Weil Schüler ja als pflegeleichteste Klientel gelten und nie irgendwie anfangen "rumzuprobieren" ob der Admin was von seinem Job versteht? Was sagt denn der Hersteller der Anwendung dazu? Hast du natürlich vollkommen recht. Was gäbe es sonst noch für eine Alternative. Danke Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 29. August 2017 Melden Teilen Geschrieben 29. August 2017 Wie wärs, wenn du mit den Anforderungen anfängst? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 29. August 2017 Melden Teilen Geschrieben 29. August 2017 Moin, als Vater schulpflichtiger Kinder sage ich es mal so: Ich erwarte, dass die Schule alles tut, um die persönlichen Daten meiner Kinder (und aller anderen) zu schützen, insbesondere weil ich hier faktisch gezwungen bin, der Speicherung solcher Daten zuzustimmen - der gesamte Schulbetrieb geht anscheinend nicht mehr ohne. Zu diesem Schutz gehört, dass nur Software eingesetzt wird, die nach aktuellem Stand der Entwicklung erarbeitet und professionell gewartet wird. Dass die interne Betreuung eines solchen Systems meist nicht von professionellen Kräften übernommen, sondern von Lehrern "nebenbei" gemacht wird, ist für mich schon sehr schwer zu akzeptieren. Gänzlich inakzeptabel wäre es aber, wenn Amateure Software entwickeln oder manipulieren, die auf solche sensiblen Daten zugreift oder - noch schlimmer - sie von außen zugänglich macht. Das wird auch dadurch nicht besser, dass es - wie ich in deinem Fall unterstelle - in bester Absicht geschieht. Die Alternative wäre also, den Hersteller der Schulsoftware nach einer Funktionserweiterung zu fragen. Damit besteht immer noch keine Gewähr, dass das in ausreichender Qualität geschieht, aber eine Firma hat wenigstens ein wirtschaftliches Interesse daran, keine Datenschutzprobleme zu verursachen. Gruß, Nils 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.