Tatja 13 Geschrieben 24. April 2021 Melden Geschrieben 24. April 2021 Hallo, ist es möglich ein Active Directory Benutzerkonto über eine Webseite zu erstellen? Wir möchten den Studenten ermöglichen sich selber ein Konto zu erstellen um öffentliche PCs in einer unserer Bibliotheken nutzen zu können. Die Studenten haben eine ID mit der sie E-Mail... nutzen. Diese ID ist im Kerberos gespeichert. Leider können wir mit den Windows-PCs diese ID nicht als Login nutzen. Ich stelle mir das so vor das der Student sich über ein Webformular einen Benutzernamen und ein Passwort ausdenkt und dieses dann automatisch auf dem Windows-Server angelegt wird. Gibt es so eine Lösung? Zitieren
NorbertFe 2.155 Geschrieben 25. April 2021 Melden Geschrieben 25. April 2021 Das kann in der Form nur in die Hose gehen. Prinzipiell geht sowas (fertiges Produkt kenne ich nicht). Aber die Idee, dass sich Nutzer ihre eigenen Namen ausdenken ist nicht gut. Ich würde sagen definiert die Anforderungen so gut wie möglich und sucht euch ein systemhaus, welches auch bei der Umsetzung unterstützt. Zitieren
cj_berlin 1.401 Geschrieben 25. April 2021 Melden Geschrieben 25. April 2021 Moin, wenn sie schon authentifizierungsfähige IDs haben, dann legt doch im AD vorn vornherein ein gleichlautendes Konto und lasst sie einfach das Kennwort selber zurücksetzen. Das wiederum könnte man relativ gut und sicher mit einem einfachen Webportal umsetzen, indem man die e-Mail (welche die Studenten ja erfolgreich nutzen) als quasi den berechtigenden Faktor nimmt. Das habe ich vor einem Monat für einen Kunden umgesetzt, es gibt aber auch fertige Produkte dafür. Wenn sich solche Anforderungen häufen, solltet ihr euch über geregeltes und zentralisiertes IAM Gedanken machen. Als Bildungseinrichtung seid ihr ja für Open Source prädestiniert, daher z.B. https://www.openiam.com/ Da wären übrigens auch solche Self-Service Portal schon enthalten. 1 Zitieren
daabm 1.386 Geschrieben 26. April 2021 Melden Geschrieben 26. April 2021 Produktmäßig fällt mir da FirstAttribute an - oder OpenIAM, s.o. Aber Benutzeranlage im Selfservice ist ein sicherer Schuss ins Knie Zitieren
MrCocktail 199 Geschrieben 26. April 2021 Melden Geschrieben 26. April 2021 ich verstehe die Anforderung nicht wirklich... ihr habt eine ID die im Kerberos Token gespeichert ist und könnt über diese nicht eine Identifikation bauen? Da gibt es doch mit Sicherheit sinnvolle andere Ideen, als ein Self Service Portal ... Zitieren
Dukel 460 Geschrieben 26. April 2021 Melden Geschrieben 26. April 2021 Was für eine ID denn? Was für eine eMail denn? Was meinst du, ist in Kerberos gespeichert? Kannst du etwas über die Infrastruktur erzählen? Zitieren
Tatja 13 Geschrieben 26. April 2021 Autor Melden Geschrieben 26. April 2021 Wir haben im Gegensatz zu vielen anderen Unis kein Active Directory. Jeder Student, Mitarbeiter hat eine ID zum Anmelden an diverse Dienste. In unserer Bibliothek konnten wir uns bisher an den Windows PC mit dieser ID anmelden. Wir haben die Software pGina verwendet. Seit Win10 geht das nicht mehr. Wie ich es verstanden habe ist die ID ein Benutzeraccount auf einem Unix Kerberos Server. Daher brauchen wir eigene Accounts für die Windows PCs. Wir kennen die Benutzer aber nicht daher müssen wir irgendwie denen einen eigenen Benutzeraccount bei uns geben aber sicherstellen daß es sich um Studenten handelt. Daher die Idee das sich jeder über eine Webseite einen Account erstellen kann aber nur freigeschaltet wird wenn er eine richtige ID und Passwort gibt. Für verschiedene Dienste schaltet die Uni eine Webseite mit Passwort vor. Dafür wird Shibboleth verwendet. 1 Zitieren
Dukel 460 Geschrieben 27. April 2021 Melden Geschrieben 27. April 2021 Wer ist denn für das Identity Management bei euch zuständig? Ihr wollt kein Self-Service für ein AD Account! Es gibt hier verschiedene Möglichkeiten: - Unix System nutzen. Hier muss geprüft werden, ob dieses evtl. angepasst werden muss oder dies auf Windows Seite aus geschehen kann. - Unix System mit einem AD Koppeln. Ich meine mit Shibboleth ist sowas auch möglich. - Unabhängiges AD aufbauen. Hier möchte man aber kein Self-Service, sondern z.B. über einen HR Prozess oder ein IDM die Informationen der Benutzer, so das diese (automatisiert) angelegt werden können. Auf jeden Fall solltet Ihr mit den zuständigen sprechen. Zitieren
Tatja 13 Geschrieben 27. April 2021 Autor Melden Geschrieben 27. April 2021 Vielen Dank für die Antworten! Ist es also möglich das die Windows Clients nicht direkt an den Kerberos Server können aber das AD mit den Kerberos Unix Server verbinden werden kann? Unser Rechenzentrum hat kein Personal und kann uns da nicht weiterhelfen. Ich muss also eine Lösung suchen und dann um konkret um Hilfe fragen. Zitieren
Dukel 460 Geschrieben 27. April 2021 Melden Geschrieben 27. April 2021 Es kommt darauf an, was dieser Kerberos Server ist. Ist das ein Samba (4)? Ist das nur Kerberos? Kerberos ist für sich nur ein Auth. Dienst. Dahinter braucht es eine (zentrale) Benutzerdatenbank. Zitieren
NilsK 2.978 Geschrieben 27. April 2021 Melden Geschrieben 27. April 2021 Moin, Shibboleth ist im Wesentlichen SAML, da geht es um die Anmeldung an Web-Applikationen. Hilft hier nicht. In eurem Fall bräuchtet ihr schon ein AD, wenn die Anmeldung an Windows-Clients einigermaßen sinnvoll vonstatten gehen soll. Bei dem Szenario würde vermutlich ein sehr simpler Import der Anmeldedaten der Studierenden ausreichen, z.B. monatlich, vielleicht auch semesterweise. Dazu würde man von dem Unix-System die Konten z.B. in eine CSV-Datei exportieren (nur die wichtigsten Attribute) und diese dann nutzen, um im AD die Konten anzulegen. Hier scheint es ja nicht um weitergehende Anforderungen zu gehen. Vorab wäre das juristisch zu klären - dürfen die Daten von der Uni an die Bibliothek weitergegeben werden? (Faktisch wäre das auch bei einem "Self-Service" zu klären, denn ihr dürftet nicht einfach so Benutzerdaten speichern, nur weil jemand auf einer Webseite ein Konto anlegt.) Bliebe also das Einrichten eines AD und des Import-/Export-Vorgangs. Für jemanden, der sich auskennt, in ein, zwei Tagen ausreichend sicher machbar. Ohne Kenntnisse aber ein No-Go, sowohl technisch als auch aus Sicht der Sicherheit. Gruß, Nils 1 Zitieren
Tatja 13 Geschrieben 27. April 2021 Autor Melden Geschrieben 27. April 2021 Ihr habt mir sehr geholfen, vielen Dank! Vor allem sind die Bedenken immer gut zu hören. Das macht die Sache doch sehr viel (un)realistischer. Zitieren
cj_berlin 1.401 Geschrieben 27. April 2021 Melden Geschrieben 27. April 2021 Jetzt aber mal andersherum gedacht: Sind die Dienste, die die Studenten an den öffentlichen PCs nutzen, so personalisiert, dass man das nicht als Kiosk abbilden kann, quasi ohne Anmeldung? Zitieren
Tatja 13 Geschrieben 27. April 2021 Autor Melden Geschrieben 27. April 2021 Eigentlich nicht! Das Problem ist das nur Mitglieder der Uni über die Uni ins Internet dürfen und auf den Bibliothekscomputern ist Internetzugang und Office. Habe jetzt dran gedacht einen VPN-Client zu installieren damit könnte ich den Zugang beschränken. 1 Zitieren
NilsK 2.978 Geschrieben 27. April 2021 Melden Geschrieben 27. April 2021 Moin, wie soll denn ein VPN-Client dabei helfen? An solchen Stellen würde ich von Workarounds und Bastellösungen absehen. Gruß, Nils 1 Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.