Zum Inhalt wechseln


Foto

LDAP Zugangsdaten für LDAP Authentication


  • Bitte melde dich an um zu Antworten
23 Antworten in diesem Thema

#1 haiflosse

haiflosse

    Newbie

  • 91 Beiträge

 

Geschrieben 29. August 2017 - 16:49

Ich möchte eine externe Anwendung mit PHP erstellen, wo ich die Zugangsdaten vom Windows Server 2012 R2 nutzen möchte.

Dazu habe ich hier erfahren, dass ich dies mit einer LDAP Authentication durchführen kann.

Wo finde ich diese Zugangsdaten am Windows Server 2012 R2.

Vielen Dank für eine Antwort

 



#2 testperson

testperson

    Board Veteran

  • 4.578 Beiträge

 

Geschrieben 29. August 2017 - 16:59

Hi,

 

dein bzw. einer deiner Windows Server 2012 R2 stellt aber schon die Active Directory Domänen Dienste bereit?

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#3 haiflosse

haiflosse

    Newbie

  • 91 Beiträge

 

Geschrieben 29. August 2017 - 18:22

Hi,

 

dein bzw. einer deiner Windows Server 2012 R2 stellt aber schon die Active Directory Domänen Dienste bereit?

 

ja.

Bei der LDAP Authentifizierung bei PHP benötige ich folgende Daten:

 

$ldaprdn  = 'uname';     // ldap rdn oder dn
$ldappass = 'password';  // entsprechendes password

// verbinden zum ldap server
$ldapconn = ldap_connect("ldap.example.com")

 

uname und Password nehme ich an, dass ich da meine Adminzugänge verwenden kann.

Wo finde ich aber den Namen des ldap Servers, so dass er auch von extern erreichbar ist.

 

Danke nochmals



#4 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 29. August 2017 - 18:52

nein genau die solltest du dafür NICHT verwenden, sondern dir einen NORMALEN User anlegen. Den DN (Distinguished Name kannst du dann bspw. im Attribute Editor rauskopieren).

Bye
Norbert

Make something i***-proof and they will build a better i***.


#5 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 29. August 2017 - 20:23

Moin,

 

Wo finde ich aber den Namen des ldap Servers, so dass er auch von extern erreichbar ist.

 

falls du damit meinst, dass du deine PHP-Anwendung und dein AD über das Internet erreichbar machen willst: Holzweg. Das macht man so nicht.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#6 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 29. August 2017 - 20:31

Danke, das wollte ich auch noch schreiben. :)

Make something i***-proof and they will build a better i***.


#7 haiflosse

haiflosse

    Newbie

  • 91 Beiträge

 

Geschrieben 29. August 2017 - 21:05

Hallo!

Danke für die Antwort.

 

Den Distinguished Name habe ich über den Attribut Editor gefunden - danke.

Wie kann ich dann aber korrekt auf die Logindaten eines AD von einer PHP Anwendung zugreifen, da mir eine LDAP Authentication vorgeschlagen wurde?

 

Dachte ich benötige da nur noch den ldap Servernamen!

 

Danke nochmals



#8 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 29. August 2017 - 21:17

Moin,

 

eine Anwendung, die über das Internet zugänglich gemacht wird, steht augenblicklich unter Beschuss. Es ist sehr wahrscheinlich, dass Hacker (solche von der "automatisierten" Sorte) sie angreifen und damit erfolgreich sind, wenn man nicht umfassende Maßnahmen dagegen ergreift. Zu solchen Maßnahmen gehört eine strikte Netzwerktrennung. Eine vom Internet erreichbare Anwendung darf nicht direkt auf ein internes AD zugreifen, in dem "normale" produktive Anmeldedaten gespeichert sind. Wer den Webserver mit der Anwendung gekapert hat, hat sonst direkten Durchgriff auf das AD - insbesondere wenn der PHP-Code die Anmeldedaten auch noch auf dem Silbertablett serviert.

 

Für Anwendungen, die aus dem Internet erreichbar sein, aber trotzdem eine AD-Anmeldung unterstützen sollen, gibt es andere Techniken wie SAML oder OAuth. Aber auch solche Anwendungen müssen mit modernen Sicherheitstechniken entwickelt und durch eine leistungsfähige Infrastruktur geschützt werden, alles andere wäre grob fahrlässig.

 

Selbst wenn es sich nur um eine interne Anwendung handelt, ist der genannte Beispielcode für die LDAP-Anmeldung eben nur ein Beispiel und entspricht nicht heutigen Sicherheitsanforderungen. Auf keinen Fall verwendet man für sowas administrative Zugänge.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#9 haiflosse

haiflosse

    Newbie

  • 91 Beiträge

 

Geschrieben 29. August 2017 - 21:25

Hallo Nils!

Vielen Dank für die ausführliche Erklärung.

 

Gibt es dann eine Möglichkeit die Logindaten inkl. Passwort in eine Datei zu exportieren bzw. einer mysql Datenbank zur Verfügung zu stellen, so dass ich dann die Zugangsdaten verwenden kann.

 

Danke nochmals



#10 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 29. August 2017 - 21:28

Ich kann mich Nils nur anschließen. Wenn du an der Stelle schon Probleme hast, solltest du sowas auf keinen Fall ins Internet hängen. Das kann nur schiefgehen. Welche Art Anwendung ist das überhaupt?

Hallo Nils!
Vielen Dank für die ausführliche Erklärung.
 
Gibt es dann eine Möglichkeit die Logindaten inkl. Passwort in eine Datei zu exportieren bzw. einer mysql Datenbank zur Verfügung zu stellen, so dass ich dann die Zugangsdaten verwenden kann.
 
Danke nochmals


Das verlagert das Problem doch nur "geringfügig" von einer unsicheren Art aufs AD zuzugreifen auf eine "unsichere" MySQL DB mit unsicherem Sync-Mechanismus. Das wurde dir aber im anderen Thread auch schon mitgeteilt afair.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#11 haiflosse

haiflosse

    Newbie

  • 91 Beiträge

 

Geschrieben 29. August 2017 - 21:32

Es handelt sich um einen Schulserver und ich möchte eine weitere Anwendung (php/mysql), worüber sich die Schüler anmelden können und ich dann Testergebnisse, Noten, Kursanmeldungen u.s.w. zur Verfügung stellen möchte.

 

Was wäre dann noch eine gute Alternative.

 

Danke nochmals


Bearbeitet von haiflosse, 29. August 2017 - 21:34.


#12 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 29. August 2017 - 21:33

Weil Schüler ja als pflegeleichteste Klientel gelten und nie irgendwie anfangen "rumzuprobieren" ob der Admin was von seinem Job versteht? Was sagt denn der Hersteller der Anwendung dazu?

Make something i***-proof and they will build a better i***.


#13 haiflosse

haiflosse

    Newbie

  • 91 Beiträge

 

Geschrieben 29. August 2017 - 21:40

Weil Schüler ja als pflegeleichteste Klientel gelten und nie irgendwie anfangen "rumzuprobieren" ob der Admin was von seinem Job versteht? Was sagt denn der Hersteller der Anwendung dazu?

 

Hast du natürlich vollkommen recht.

Was gäbe es sonst noch für eine Alternative.

Danke



#14 NorbertFe

NorbertFe

    Expert Member

  • 30.789 Beiträge

 

Geschrieben 29. August 2017 - 22:02

Wie wärs, wenn du mit den Anforderungen anfängst?

Make something i***-proof and they will build a better i***.


#15 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 29. August 2017 - 22:02

Moin,

 

als Vater schulpflichtiger Kinder sage ich es mal so: Ich erwarte, dass die Schule alles tut, um die persönlichen Daten meiner Kinder (und aller anderen) zu schützen, insbesondere weil ich hier faktisch gezwungen bin, der Speicherung solcher Daten zuzustimmen - der gesamte Schulbetrieb geht anscheinend nicht mehr ohne. Zu diesem Schutz gehört, dass nur Software eingesetzt wird, die nach aktuellem Stand der Entwicklung erarbeitet und professionell gewartet wird.

 

Dass die interne Betreuung eines solchen Systems meist nicht von professionellen Kräften übernommen, sondern von Lehrern "nebenbei" gemacht wird, ist für mich schon sehr schwer zu akzeptieren. Gänzlich inakzeptabel wäre es aber, wenn Amateure Software entwickeln oder manipulieren, die auf solche sensiblen Daten zugreift oder - noch schlimmer - sie von außen zugänglich macht. Das wird auch dadurch nicht besser, dass es - wie ich in deinem Fall unterstelle - in bester Absicht geschieht.

 

Die Alternative wäre also, den Hersteller der Schulsoftware nach einer Funktionserweiterung zu fragen. Damit besteht immer noch keine Gewähr, dass das in ausreichender Qualität geschieht, aber eine Firma hat wenigstens ein wirtschaftliches Interesse daran, keine Datenschutzprobleme zu verursachen.

 

Gruß, Nils


  • Dr.Melzer und MurdocX gefällt das

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!