bluejack 0 Geschrieben 10. Oktober 2018 Melden Teilen Geschrieben 10. Oktober 2018 (bearbeitet) Hallo allerseits! Habe das Forum bereits lange von "außen" betrachtet, nun wage ich mich einmal hinein - und hoffe auch hilfreiche Tipps von euch. ;) Wir haben einen Domänencontroller der einen internen Hostnamen (schule.intern) hat. Zusätzlich nutzen wir unter anderem das Active Directory. Nun wird eine Verbindung von unserem lokalem ActiveDirectory via LDAP zu einem anderen Online-Dienst benötigt. Generell wäre dies kein Problem - allerdings werden hierbei sehr sensible Daten (Passwörter, E-Mail-Adressen, Namen ...) übertragen, die wir schützen müssen. Also muss ein Zertifikat her. Kein Problem Geld dafür ist da und registrieren ist auch kein Problem. Allerdings sind wir mit unserem Latein am Ende, wie wir dieses in unsere derzeitige Konfiguration einbauen solllen. Wir würden die Domain ldap.domain.com auf die IP-Adresse der LDAP-URL zeigen lassen - nur wo und wie sollen wir das Zertifikat einspielen? Installieren wir es am Domaincontroller funktioniert auf den Clients der Login nicht mehr, da das Zertifikat für ldap.domain.com nicht zu schule.intern passt. Wir müssen allerdings den internen Hostnamen beibehalten, da es für uns langfristig nicht möglich ist, diesen zu ändern. SAN-Zertifikate werden seit 2015 leider nicht mehr auf interne Hostnamen ausgestellt. Wisst ihr eine Lösung, wie wir unser Problem lösen könnten? Danke für eure Hilfe! Grüße aus Wien! bearbeitet 10. Oktober 2018 von bluejack Zitieren Link zu diesem Kommentar
zahni 558 Geschrieben 10. Oktober 2018 Melden Teilen Geschrieben 10. Oktober 2018 Hallo und Willkommen im Forum. Wir hatten gerade erst ein ähnliches Thema: Wenn Du danach noch Fragen hast, einfach hier wieder melden. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 10. Oktober 2018 Melden Teilen Geschrieben 10. Oktober 2018 Hallo und willkommen, wieso "wagen"? Gebissen wird hier meist nicht. ;) Bevor du wirklich dein LDAP (auch per s gesichert) nach extern aufmachst, solltest du erstmal nachfragen, ob es nicht sinnvollere Authentifizierungsmethoden gibt. Schau mal in diesen Thread hier: Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 10. Oktober 2018 Melden Teilen Geschrieben 10. Oktober 2018 (bearbeitet) Moin, da der andere Thread auch von einem Österreicher kam und sich ebenfalls auf die Nutzung durch eine Schule bezog, liegt die Vermutung nahe, dass es auch um denselben anzubindenden Dienst geht ... vielleicht solltet ihr mal direkt miteinander kommunizieren. Jedenfalls wäre in dem Fall die Frage, ob es auch anders geht, schon beantwortet: Ja, per SAML. Euer bereits erworbenes Zertifikat könntet ihr in dem Fall evtl. sogar weiter nutzen ... Gruß, Nils bearbeitet 10. Oktober 2018 von NilsK Zitieren Link zu diesem Kommentar
bluejack 0 Geschrieben 10. Oktober 2018 Autor Melden Teilen Geschrieben 10. Oktober 2018 Ihr habt vollkommen recht, ich wusste nicht, dass zu diesem Fall bereits ein Thema erstellt wurde. Den Tipp mit SAML sehe ich mir an. Bitte um Entschuldigung, dass ich jetzt noch ein Thema dazu eröffnet habe. Danke jedenfalls für die zahlreichen und sehr raschen Antworten! Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 10. Oktober 2018 Melden Teilen Geschrieben 10. Oktober 2018 Moin, macht ja nix. Jedenfalls viel Erfolg. Gruß, Nils Zitieren Link zu diesem Kommentar
bluejack 0 Geschrieben 11. Oktober 2018 Autor Melden Teilen Geschrieben 11. Oktober 2018 Jetzt habe ich noch eine Frage: Muss die Domain, die beim Verbunddienst eingetragen wird, ident mit dem Domänennamen sein? Also, wenn unsere Domäne schule.intern lautet, kann die Domain für den Verbunddienst auch web.domain.at lauten? Die Domain web.domain.at zeigt dann auf die IP-Adresse des Domänencontrollers. Kann der Verbunddienst auch auf einem eigenen Server laufen oder muss dieser zwingend in der selben Domäne sein, wie das Active Directory? Danke für eure Unterstützung! :) Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 11. Oktober 2018 Melden Teilen Geschrieben 11. Oktober 2018 12 minutes ago, bluejack said: Die Domain web.domain.at zeigt dann auf die IP-Adresse des Domänencontrollers. Eben nicht! Informiere dich einmal über die Architektur von ADFS. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 11. Oktober 2018 Melden Teilen Geschrieben 11. Oktober 2018 Ich würde behaupten, dass es mehr bringt zu klären ob ADFS bzw. SAML Authentifizierung angeboten wird und danach holt man sich jemanden, der bei der Umsetzung hilft. Man kann natürlich auch alles selbst versuchen, muß sich aber dann auch nicht wundern, wenn man 1. zu SAML und ADFS nicht allzuviel Hilfe findet und 2. irgendwann mit einer Semi-sicheren Umgebung da steht. Bye Norbert Zitieren Link zu diesem Kommentar
bluejack 0 Geschrieben 11. Oktober 2018 Autor Melden Teilen Geschrieben 11. Oktober 2018 (bearbeitet) SAML wird unterstützt. Und schon klar, bin dabei es zu verstehen - sonst würde ich ja nicht hier um Hilfe bitten. :) bearbeitet 11. Oktober 2018 von bluejack Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 11. Oktober 2018 Melden Teilen Geschrieben 11. Oktober 2018 Du kannst einmal unter https://www.faq-o-matic.net/2014/04/02/adfs-grundlagen-und-architektur anfangen zu lesen. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.