2K3 - Anmeldeinformationen im AD über Radius Server?
Hallo Leute,
ich bin gerade dabei herauszufinden in wie weit man Anmeldeinformationen aus einem 2003 Active Directory Server herausbekommen, wenn ein Benutzer sich über einen "Radius Server" Authentifiziert? geht das überhaupt, wenn ja, welches Attribut ist hier verantwortlich?
sorry das ist etwas sehr unspezifisch, kannst Du nochmal beschreiben, was Du genau machen willst?
Wenn Du meinst, dass ein Benutzer sich über Radius authentifiziert, meinst du damit den AD-integrierten IAS / NPS Radius?
Und welche Information ist das, die Du genau herausbekommen willst? Anmeldenamen? Der müßte dem Benutzer ja bekannt sein, denn sonst hätte er sich nicht authentifizieren können. Oder willst generell Informationen anderer Objekte aus dem AD auslesen?
Hallo Philipp,
erst mal vielen Dank für dein Feedback. Ich vermute der Rdius Server ist nicht der AD-Server. Ich werde versuchen Morgen mehr Informatioenen heraus zu bekommen, da das Netz recht gross ist hier und ich nur ein externer bin. Es sollen Informationen der Benutzeranmeldung herausgefunden werden.
also wenn ich das so verstehen soll, dass Du wissen willst, ob und wann ein Benutzer im AD authentisiert wurde, dann ist es so, dass ALLE Anmeldungen, egal über welchen Kanal (Ctrl-Alt-Del an einer Station oder einem Server, NET USE übers Netz, über Radius gegen AD, pure LDAP-Verbindungen über Script etc. etc.) immer in den entsprechenden Attributen im Ad hinterlegt werden: lastLogon und lastLogonTimestamp.
Es sind jedoch einige Details bei diesen Attributen zu beachten, schau am besten mal hier nach:
Hallo Philipp,
so wie ich das verstanden habe, werden MAC Adresse zur VPN Einwahl über einen Switch, dann über den Radius zur AD und im AD gibt es eine OU mit einer Liste von erlaubten MAC Adressen. Ziel ist es die MAC Adressen gelegentlich zu prüfen, ob diese noch Aktiv ist. Wenn diese länger als 90 Tage kein logon durchgeführt hat, soll diese gelöscht werden. Die Information ist nicht im "LastLogon" zu finden. Ich habe gerade gelesen, dass ein Attribut "AccessRequest" auch geschrieben wird. Wie und wo kann ich die Auslesen?
hmm, also ein "AccessRequest" ist bei den Standard-Attributen von AD nicht dabei, wird das vielleicht durch die Installation der Radius-Umgebung durch eine Schema-Erweiterung hinzugefügt? Von weitem ist es schwer zu sagen, wie Du damit umgehen sollst...
Du mußt mal mit einem LDAP Browser (ADSIEdit, LEX, Softerra, etc.) direkt nachschauen, ob dieses Attribut bei Euren Benutzern vorhanden ist...
Dann läßt es sich auch auslesen, z.B. mit einem Script oder mit DSQUERY.
Ich möchte das Thema nochmals aufgreifen weil es bei mir gerade aktuell ist bzw. ich aufgrund der bisherigen Antworten noch nicht weiß ob das auch funktioniert.
Mittels mOTP habe ich einen FreeRadius Server installiert. Es gibt für Handhelds diverse mOTP Applikationen welche mir ein One Time Passwort erstellen, welches mittels Radius mit dem Server abgeglichen werden. Funktioniert auch bestens, diverse Logins welche die Userauthentifizierung über den Radius Server fahren habe ich schon hinbekommen.
Jetzt zur Frage:
Kann ich diesen Radius Server irgendwie ins Active Directory einbinden? Dass also die Anmeldungen an der Domäne über die "Passwortverwaltung" des Radius fährt wo ich ja die OTP Lösung habe?
Ich weiß, es gibt genügend OTP Middleware für die Einbindung ins AD, die aber eben Geld kostet. Funktioniert das nicht auch anders?
