Zum Inhalt wechseln


Foto

LDAP Zugangsdaten für LDAP Authentication


  • Bitte melde dich an um zu Antworten
23 Antworten in diesem Thema

#16 haiflosse

haiflosse

    Newbie

  • 91 Beiträge

 

Geschrieben 29. August 2017 - 22:21

Danke für die Hinweise.

Werde das ganze beachten.

 

Ich wollte nur fragen, ob es technisch möglich wäre die Daten inkl. Passwort aus dem AD in eine Datei oder in eine Mysql Datenbank zu exportieren.

Würde es vorerst nur für einen Test mit Testdaten benötigen.

 

Danke



#17 NorbertFe

NorbertFe

    Expert Member

  • 30.794 Beiträge

 

Geschrieben 29. August 2017 - 22:31

Können kann man. Sieht man ja an Office 365, die sowas anbieten. (nein das sind nicht die Passworte, sondern die Hashes) aber ob man das dann selbst in der Form "anbieten" will oder kann? Kann ich dir leider nicht beantworten.

Make something i***-proof and they will build a better i***.


#18 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 30. August 2017 - 06:28

Moin,

 

wie wir dir in dem anderen Thread schon gesagt haben: Nein, diese Möglichkeit existiert nicht. Das AD speichert die Kennwörter gar nicht, schon daher kann man sie nicht exportieren. Gespeichert werden nur die Hashes, aber auch die kann man nicht ohne weitere Klimmzüge exportieren. Und selbst wenn man es kann, nützen dir die Hashes nichts, weil du sie nicht zur Anmeldung verwenden kannst, ohne das Anmeldesystem von Active Directory zu nutzen.

 

Die einzige Möglichkeit, in mehreren getrennten Systemen dieselben Anmeldedaten für verschiedene Authentifizierungsverfahren zu nutzen, wäre ein getrennter Abgleich, der die "Rohdaten" der Konten aus dem einen System in ein anderes überträgt (das wäre simpel), dann aber die Kennwortvergabe selbst vornimmt und das Kennwort des Anwenders dann in die verschiedenen Benutzerdatenbanken schreibt. Aber bevor du jetzt sowas baust: Das ist eine Infrastruktur, die mit höchstem Sicherheitsniveau gebaut werden muss, weil sie ja nun mal sämtliche Kennwörter steuert. Sowas wie eine Ablage in einer Datenbank ist dann ein No-go, solange man keine wirklich guten Algorithmen für Verschlüsselung und Schutz der Daten implementiert.

 

Und nochmal: Du befindest dich auf einem Holzweg. Die Lösung besteht nicht darin, in deiner Anwendung die AD-Konten zu duplizieren. Sie besteht auch nicht darin, einen direkten Durchgriff von der Internetapplikation auf das interne AD zuzulassen. Wenn überhaupt, käme, wie schon gesagt, so etwas wie SAML oder OAuth in Frage, aber auch das nur mit der passenden Infrastruktur und Programmcode, der nach aktuellem Stand "sicher" entwickelt ist.

 

Um meine bisherigen Hinweise noch mal zu verschärfen: Wir reden hier nicht nur von personenbezogenen Daten, die per se hochgradig schützenswert sind (und für die ein inadäquater Umgang mit empfindlichen Strafen bewehrt ist), sondern sogar von Daten von Schutzbefohlenen. Bitte keine Experimente und kein Gebastel an dieser Stelle, auch wenn es noch so gut gemeint ist.

 

Gruß, Nils


Bearbeitet von NilsK, 30. August 2017 - 06:29.

  • Dr.Melzer gefällt das

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#19 haiflosse

haiflosse

    Newbie

  • 91 Beiträge

 

Geschrieben 02. September 2017 - 22:12

Hallo!

Ich nochmals.

 

Wäre es denkbar einen LDAP Zugriff von außen, wenn man SSL über eine Firewall Fortigate und dort nur den Webserver zulässt wo die externe Anwendung liegt.

Danke nochmals



#20 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 02. September 2017 - 22:25

Moin,

 

nein, wäre es nicht. Wenn deine PHP-Applikation geknackt wird, hat der Angreifer vollen Durchgriff auf die Anmeldedaten aller Anwender. Die Firewall-Beschränkung auf den Webserver bringt exakt überhaupt nichts, weil der Webserver das erste ist, was angegriffen wird. Und SSL ist kein Schutz vor Angriffen auf die Applikation.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#21 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 08. September 2017 - 18:02

$ldappass = 'password';  // entsprechendes password


Da bin ich raus, ohne den Rest des Threads gelesen zu haben... Klartextkennwörter in Skripten :cry: :jau: :cry:


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#22 haiflosse

haiflosse

    Newbie

  • 91 Beiträge

 

Geschrieben 28. September 2017 - 21:04

Hallo!

Danke für die Antworten.

 

Wir haben uns nun für eine Intranetlösung entschieden und wollte nochmals fragen, ob mir jemand helfen kann wie man dies mit php lösen könnte die Daten von einem AD für einen Login zu lösen.

 

Danke nochmals



#23 testperson

testperson

    Board Veteran

  • 4.580 Beiträge

 

Geschrieben 28. September 2017 - 21:09

http://php.net/manual/en/book.ldap.php


Good morning, that's a nice TNETENNBA!

#24 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 29. September 2017 - 06:25

Moin,

 

eine vernünftige Intranetlösung hat fertige Funktionen für sowas, die nach aktuellen Sicherheitsrichtlinien aufgebaut sind. Sowas baut man als Hobbyist nicht selbst. Das ist doch genau das, was wir hier die ganze Zeit predigen.

 

Gruß, Nils


  • NorbertFe gefällt das

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!