Jump to content

Active Directory Konto Selbstregistrierung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ist es möglich ein Active Directory Benutzerkonto über eine Webseite zu erstellen? Wir möchten den Studenten ermöglichen sich selber ein Konto zu erstellen um öffentliche PCs in einer unserer Bibliotheken nutzen zu können. Die Studenten haben eine ID mit der sie E-Mail... nutzen. Diese ID ist im Kerberos gespeichert. Leider können wir mit den Windows-PCs diese ID nicht als Login nutzen.

Ich stelle mir das so vor das der Student sich über ein Webformular einen Benutzernamen und ein Passwort ausdenkt und dieses dann automatisch auf dem Windows-Server angelegt wird. Gibt es so eine Lösung?

Link zu diesem Kommentar

Moin,

 

wenn sie schon authentifizierungsfähige IDs haben, dann legt doch im AD vorn vornherein ein gleichlautendes Konto und lasst sie einfach das Kennwort selber zurücksetzen. Das wiederum könnte man relativ gut und sicher mit einem einfachen Webportal umsetzen, indem man die e-Mail (welche die Studenten ja erfolgreich nutzen) als quasi den berechtigenden Faktor nimmt. Das habe ich vor einem Monat für einen Kunden umgesetzt, es gibt aber auch fertige Produkte dafür.

 

Wenn sich solche Anforderungen häufen, solltet ihr euch über geregeltes und zentralisiertes IAM Gedanken machen. Als Bildungseinrichtung seid ihr ja für Open Source prädestiniert, daher z.B. https://www.openiam.com/ Da wären übrigens auch solche Self-Service Portal schon enthalten.

 

 

Link zu diesem Kommentar

Wir haben im Gegensatz zu vielen anderen Unis kein  Active Directory. Jeder Student, Mitarbeiter hat eine ID zum Anmelden an diverse Dienste. In unserer Bibliothek konnten wir uns bisher an den Windows PC mit dieser ID anmelden. Wir haben die Software pGina verwendet. Seit Win10 geht das nicht mehr.

Wie ich es verstanden habe ist die ID ein Benutzeraccount auf einem Unix Kerberos Server. Daher brauchen wir eigene Accounts für die Windows PCs. Wir kennen die Benutzer aber nicht daher müssen wir irgendwie denen einen eigenen Benutzeraccount bei uns geben aber sicherstellen daß es sich um Studenten handelt. Daher die Idee das sich jeder über eine Webseite einen Account erstellen kann aber nur freigeschaltet wird wenn er eine richtige ID und Passwort gibt. Für verschiedene Dienste schaltet die Uni eine Webseite mit Passwort vor. Dafür wird Shibboleth verwendet.

Link zu diesem Kommentar

Wer ist denn für das Identity Management bei euch zuständig? Ihr wollt kein Self-Service für ein AD Account!

Es gibt hier verschiedene Möglichkeiten:

- Unix System nutzen. Hier muss geprüft werden, ob dieses evtl. angepasst werden muss oder dies auf Windows Seite aus geschehen kann.

- Unix System mit einem AD Koppeln. Ich meine mit Shibboleth ist sowas auch möglich.

- Unabhängiges AD aufbauen. Hier möchte man aber kein Self-Service, sondern z.B. über einen HR Prozess oder ein IDM die Informationen der Benutzer, so das diese (automatisiert) angelegt werden können.

 

Auf jeden Fall solltet Ihr mit den zuständigen sprechen.

Link zu diesem Kommentar

Moin,

 

Shibboleth ist im Wesentlichen SAML, da geht es um die Anmeldung an Web-Applikationen. Hilft hier nicht.

 

In eurem Fall bräuchtet ihr schon ein AD, wenn die Anmeldung an Windows-Clients einigermaßen sinnvoll vonstatten gehen soll. Bei dem Szenario würde vermutlich ein sehr simpler Import der Anmeldedaten der Studierenden ausreichen, z.B. monatlich, vielleicht auch semesterweise. Dazu würde man von dem Unix-System die Konten z.B. in eine CSV-Datei exportieren (nur die wichtigsten Attribute) und diese dann nutzen, um im AD die Konten anzulegen. Hier scheint es ja nicht um weitergehende Anforderungen zu gehen. 

 

Vorab wäre das juristisch zu klären - dürfen die Daten von der Uni an die Bibliothek weitergegeben werden? (Faktisch wäre das auch bei einem "Self-Service" zu klären, denn ihr dürftet nicht einfach so Benutzerdaten speichern, nur weil jemand auf einer Webseite ein Konto anlegt.)

 

Bliebe also das Einrichten eines AD und des Import-/Export-Vorgangs. Für jemanden, der sich auskennt, in ein, zwei Tagen ausreichend sicher machbar. Ohne Kenntnisse aber ein No-Go, sowohl technisch als auch aus Sicht der Sicherheit.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...