Zum Inhalt wechseln


Foto

LDAP Abfrage auf AD mit Vertrauensstellung

Active Directory Windows Server 2012 R2

  • Bitte melde dich an um zu Antworten
7 Antworten in diesem Thema

#1 TwentySixer

TwentySixer

    Newbie

  • 3 Beiträge

 

Geschrieben 10. August 2017 - 18:18

Hallo zusammen,

 

ich habe folgendes Problem:

 

Es existiert eine Domäne A.

In der Domäne A eine Gruppe X die einige Nutzer der Domäne A beinhaltet.

 

Es existiert eine unidirektionale Vetrauensstellung zu einer Domäne B.

In der Domäne B eine Gruppe Y die Gruppe X der Domäne A beinhaltet.

 

Nun möchte ich eine Anwendung gegen Domäne B per LDAP authentisieren und zwar nur für Nutzer die in Gruppe X der Domäne A sind also in Gruppe Y, da Gruppe Y ja Gruppe X implizit beinhaltet.

 

Hintergrund ist das die Nutzerzuordnung in Domäne A zentral gepflegt werden soll.

 

Jetzt habe ich das Problem einen korrekten LDAP Suchstring zu definieren.

Quasi muß ich den DC der Domäne B ja fragen, ist der Nutzer Z Mitglied der Gruppe Y, dann sollte er den Baum ja durchgehen, so mein naiver Ansatz.

 

Ich hoffe ich hab mich verständlich ausgedrückt und jemand kann mein Problem nachvollziehen

 

Vielen Dank für die Hilfe

 

der 26er

 

 

 

 

 

 

 

 

 



#2 tesso

tesso

    Board Veteran

  • 2.238 Beiträge

 

Geschrieben 10. August 2017 - 19:41

Wie sieht dein LDAP-Such-String bisher aus?



#3 NilsK

NilsK

    Expert Member

  • 12.338 Beiträge

 

Geschrieben 11. August 2017 - 08:24

Moin,

 

muss denn die Anwendung das selbst per LDAP rausfummeln? Kann sie nicht einfach das Access Token des Users auswerten?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 TwentySixer

TwentySixer

    Newbie

  • 3 Beiträge

 

Geschrieben 14. August 2017 - 13:27

Das ist ja gerade das Problem.
Access Token scheidet aus, da es eine Webanwendung hinter einem HAProxy ist.

 

Ich suche ja gerade die Abfrage, gib mir alle Nutzer die in dieser Gruppe sind.

Die Gruppe müßte halt rekursiv durchsucht werden.

Das es sich aber um eine entfernete Gruppe in einer anderen Domain handelt bin ich da etwas ratlos.

Scheinbar geht sowas nicht



#5 NilsK

NilsK

    Expert Member

  • 12.338 Beiträge

 

Geschrieben 14. August 2017 - 13:59

Moin,

 

rekursive Abfragen sind m.W. per LDAP nicht möglich, jedenfalls nicht mit einem einzelnen Suchstring.

 

Warum fragst du nicht Domäne A ab, wenn da sowieso die User gepflegt werden sollen?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#6 tesso

tesso

    Board Veteran

  • 2.238 Beiträge

 

Geschrieben 14. August 2017 - 18:36

Doch Nils das geht. Habe ich schon mehrfach genutzt.

Stichwort LDAP_MATCHING_RULE_IN_CHAIN

 

https://msdn.microso...5(v=vs.85).aspx


  • coomooro gefällt das

#7 NilsK

NilsK

    Expert Member

  • 12.338 Beiträge

 

Geschrieben 15. August 2017 - 07:37

Moin,

 

ach, kiek an, wieder was gelernt, danke!

 

EDIT: Wie ich gerade sehe, gibt es das schon seit Windows 2003. Seltsam, dass mir das noch nicht untergekommen ist.

 

Dieses Wissen scheint nicht allzu verbreitet zu sein, denn mit dem Operator dürften sich zahlreiche externe Implementierungen rekursiver Auflösungen erübrigen. Interessant, muss ich bei Gelegenheit mal probieren.

 

Bleibt aber die Frage, warum der TO nicht einfach direkt die Userbasis abfragt.

 

Gruß, Nils


Bearbeitet von NilsK, 15. August 2017 - 07:39.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#8 tesso

tesso

    Board Veteran

  • 2.238 Beiträge

 

Geschrieben 15. August 2017 - 10:11

Auflösungen gegen einen Windows LDAP sind damit trivial.

Bei einem Kunden war es mal ein anderer LDAP, da habe ich mir mit der Notation echt einen abgebrochen bis es funktioniert hat.





Auch mit einem oder mehreren der folgenden Tags versehen: Active Directory, Windows Server 2012 R2