w2000 10 Geschrieben 7. November 2018 Melden Teilen Geschrieben 7. November 2018 Hallo, kennt jemand ein Tool/Bordmittel wie ich AD Accounts (inkl. Anmeldepasswörter) vom AD in ein anderes LDAP (z.B. OpenLDAP) syncronisiere? Wenn möglich auch über PowerShell. Leider bin ich im Netz nicht fündig geworden bzw. die Artikel handelten immer nur von der Anbindung des AD LDAP am eine Drittsoftware zur Authentifizierung. Mir geht es aber expliziet darum vom AD aus die Daten in die anderen LDAP Systeme zu syncen. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 7. November 2018 Melden Teilen Geschrieben 7. November 2018 Hi, was hast du denn am Ende vor? Warum sollen die Daten aus dem AD in z.B. OpenLDAP? Reicht es nicht aus, dass du das AD per LDAP abfragen kannst? Gruß Jan Zitieren Link zu diesem Kommentar
w2000 10 Geschrieben 7. November 2018 Autor Melden Teilen Geschrieben 7. November 2018 ich möchte nicht das Systeme den AD befragen sprich z.B. von der DMZ ins interne Netz greifen sondern das nur vom AD (intern) Informationen in die DMZ auf den LDAP Server geschoben bzw. gesynct werden. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 7. November 2018 Melden Teilen Geschrieben 7. November 2018 Na toll. Das Risiko ist dann aber nur geringfügig geringer. Denn die Accountdaten sind ja quasi identisch. Aber das was du willst geht afaik nur mittels entsprechender Werkzeuge wie bspw. den MIM. Zitieren Link zu diesem Kommentar
w2000 10 Geschrieben 7. November 2018 Autor Melden Teilen Geschrieben 7. November 2018 es geht zwar auch um die Accounts Norbert aber der Hintergedanke war mehr der geregelte Zugriff auf den AD Server. Der AD Server sollte nicht mit unnützen Anfragen von aussen in die Knie gezogen werden daher der Extra LDAP Server in der DMZ. Wenn der Down ist kann intern noch gearbeitet werden. MIM hatte ich auch schon mal überflogen. Schaue ich mir aber nochmal im Detail an. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 7. November 2018 Melden Teilen Geschrieben 7. November 2018 Wer oder was soll denn auf das System in der dmz zugreifen. Sprich, was genau wird da authentifiziert? Zitieren Link zu diesem Kommentar
w2000 10 Geschrieben 7. November 2018 Autor Melden Teilen Geschrieben 7. November 2018 (bearbeitet) es soll dort eine Authentifizierung an einem Proxy statt finden. Die Auth Daten sollen dann aus dem LDAP sprich AD kommen. bearbeitet 7. November 2018 von w2000 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 7. November 2018 Melden Teilen Geschrieben 7. November 2018 Forward oder reverse proxy? Also aus welcher Richtung kommen die User die sich dort anmelden sollen? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 7. November 2018 Melden Teilen Geschrieben 7. November 2018 Nur als beispiel wie wir das machen: Wir haben zwei openLDAP-Server in der DMZ als proxy gegen das AD im internen Netz laufen. Nur diese Server kommen aus der DMZ auf die LDAP-ports. Der user mit dem die zugreifen hat Nur leserechte. Deinen Wunsch könnte man mit LDIFDE als AD-export lösen. Das in einem script in regelmässigen Abständen laufen lassen und die Ausgabedatei in die DMZ kopieren. Dort könnte man dann mit ldapadd, ldapmodify etc das ganze importieren. Vermutlich muss man noch etwas Hirnschmalz reinstecken und die LDIF-Datei anpassen. Der proxy ist einfacher. Zitieren Link zu diesem Kommentar
w2000 10 Geschrieben 8. November 2018 Autor Melden Teilen Geschrieben 8. November 2018 @Norbert Reverse Proxy. Die Leute greifen vom Internet aus ins System. @Magheinz danke für den Vorschlag. Klingt auch nicht schlecht bzw. wie ihr es umsetzt ist auch schon mal viel besser als wenn jeder Server den LDAP Server befragen darf. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 8. November 2018 Melden Teilen Geschrieben 8. November 2018 Und auf was wird da zugegriffen? Evtl. wäre ADFS intern (und WAP o.ä. in der DMZ) etwas. 1 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 8. November 2018 Melden Teilen Geschrieben 8. November 2018 Je nach Anwendung. Die Mailserver suchen sich die gültigen E-Mail Empfänger, andere versuchen einen simplen Login und wieder andere suchen noch die gruppenzugehörigkeiten. Somit können die DMZ-Dienste gegen die AD Authentifizierung ohne das die komplette AD im Internet oder der DMZ verfügbar ist. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 8. November 2018 Melden Teilen Geschrieben 8. November 2018 Ist die AD eigentlich die Schwester von die NDS? ;) Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 8. November 2018 Melden Teilen Geschrieben 8. November 2018 Die Frage kommt mir bekannt vor. Die Diskussion hatten wir doch schon mehrfach von Leuten aus Österreich oder der Schweiz. War es nicht eine Schulsoftware die in der DMZ laufen soll, aber gegen das AD authentifzieren? Ist es evtl. das gleiche Problem? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 8. November 2018 Melden Teilen Geschrieben 8. November 2018 Wäre das dann eigentlich ein Fall von Proxy-Use hinsichtlich der Windows CALs? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.