haiflosse 10 Geschrieben 29. August 2017 Autor Melden Teilen Geschrieben 29. August 2017 Danke für die Hinweise. Werde das ganze beachten. Ich wollte nur fragen, ob es technisch möglich wäre die Daten inkl. Passwort aus dem AD in eine Datei oder in eine Mysql Datenbank zu exportieren. Würde es vorerst nur für einen Test mit Testdaten benötigen. Danke Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 29. August 2017 Melden Teilen Geschrieben 29. August 2017 Können kann man. Sieht man ja an Office 365, die sowas anbieten. (nein das sind nicht die Passworte, sondern die Hashes) aber ob man das dann selbst in der Form "anbieten" will oder kann? Kann ich dir leider nicht beantworten. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 30. August 2017 Melden Teilen Geschrieben 30. August 2017 (bearbeitet) Moin, wie wir dir in dem anderen Thread schon gesagt haben: Nein, diese Möglichkeit existiert nicht. Das AD speichert die Kennwörter gar nicht, schon daher kann man sie nicht exportieren. Gespeichert werden nur die Hashes, aber auch die kann man nicht ohne weitere Klimmzüge exportieren. Und selbst wenn man es kann, nützen dir die Hashes nichts, weil du sie nicht zur Anmeldung verwenden kannst, ohne das Anmeldesystem von Active Directory zu nutzen. Die einzige Möglichkeit, in mehreren getrennten Systemen dieselben Anmeldedaten für verschiedene Authentifizierungsverfahren zu nutzen, wäre ein getrennter Abgleich, der die "Rohdaten" der Konten aus dem einen System in ein anderes überträgt (das wäre simpel), dann aber die Kennwortvergabe selbst vornimmt und das Kennwort des Anwenders dann in die verschiedenen Benutzerdatenbanken schreibt. Aber bevor du jetzt sowas baust: Das ist eine Infrastruktur, die mit höchstem Sicherheitsniveau gebaut werden muss, weil sie ja nun mal sämtliche Kennwörter steuert. Sowas wie eine Ablage in einer Datenbank ist dann ein No-go, solange man keine wirklich guten Algorithmen für Verschlüsselung und Schutz der Daten implementiert. Und nochmal: Du befindest dich auf einem Holzweg. Die Lösung besteht nicht darin, in deiner Anwendung die AD-Konten zu duplizieren. Sie besteht auch nicht darin, einen direkten Durchgriff von der Internetapplikation auf das interne AD zuzulassen. Wenn überhaupt, käme, wie schon gesagt, so etwas wie SAML oder OAuth in Frage, aber auch das nur mit der passenden Infrastruktur und Programmcode, der nach aktuellem Stand "sicher" entwickelt ist. Um meine bisherigen Hinweise noch mal zu verschärfen: Wir reden hier nicht nur von personenbezogenen Daten, die per se hochgradig schützenswert sind (und für die ein inadäquater Umgang mit empfindlichen Strafen bewehrt ist), sondern sogar von Daten von Schutzbefohlenen. Bitte keine Experimente und kein Gebastel an dieser Stelle, auch wenn es noch so gut gemeint ist. Gruß, Nils bearbeitet 30. August 2017 von NilsK 1 Zitieren Link zu diesem Kommentar
haiflosse 10 Geschrieben 2. September 2017 Autor Melden Teilen Geschrieben 2. September 2017 Hallo! Ich nochmals. Wäre es denkbar einen LDAP Zugriff von außen, wenn man SSL über eine Firewall Fortigate und dort nur den Webserver zulässt wo die externe Anwendung liegt. Danke nochmals Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 2. September 2017 Melden Teilen Geschrieben 2. September 2017 Moin, nein, wäre es nicht. Wenn deine PHP-Applikation geknackt wird, hat der Angreifer vollen Durchgriff auf die Anmeldedaten aller Anwender. Die Firewall-Beschränkung auf den Webserver bringt exakt überhaupt nichts, weil der Webserver das erste ist, was angegriffen wird. Und SSL ist kein Schutz vor Angriffen auf die Applikation. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 8. September 2017 Melden Teilen Geschrieben 8. September 2017 $ldappass = 'password'; // entsprechendes password Da bin ich raus, ohne den Rest des Threads gelesen zu haben... Klartextkennwörter in Skripten :cry: :jau: :cry: Zitieren Link zu diesem Kommentar
haiflosse 10 Geschrieben 28. September 2017 Autor Melden Teilen Geschrieben 28. September 2017 Hallo! Danke für die Antworten. Wir haben uns nun für eine Intranetlösung entschieden und wollte nochmals fragen, ob mir jemand helfen kann wie man dies mit php lösen könnte die Daten von einem AD für einen Login zu lösen. Danke nochmals Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 28. September 2017 Melden Teilen Geschrieben 28. September 2017 http://php.net/manual/en/book.ldap.php Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 29. September 2017 Melden Teilen Geschrieben 29. September 2017 Moin, eine vernünftige Intranetlösung hat fertige Funktionen für sowas, die nach aktuellen Sicherheitsrichtlinien aufgebaut sind. Sowas baut man als Hobbyist nicht selbst. Das ist doch genau das, was wir hier die ganze Zeit predigen. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.