Jump to content
Sign in to follow this  
mika_do

User nur mit Leserechten für AD anlegen (ldap_auth)

Recommended Posts

Hallo zusammen,

 

ich möchte in einer Software die Benutzerverwaltung über das Active Directory laufen lassen, auf welches via LDAP zugegriffen wird. Ein entsprechender Menüpunkt ist in der Software auch vorhanden. Ich habe die Einstellungen soweit vorgenommen und es funktioniert.

 

Das ganze läuft in einer 2003er Umgebung mit einem Domänencontroller

 

Nun zu meiner Frage:

 

Das Programm erfordert zwingend einen Benutzernamen und Kennwort mit Leserechten auf dem LDAP Server. Testweise habe ich einfach mal meine Login-Daten eingegeben und das funktioniert ja auch wie bereits erwähnt.

 

Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation anmelden können und auch sonst KEINE Rechte haben.

 

Verständnisfrage:

 

Ist dieser Schritt überhaupt notwendig, oder kann ich das Programm einfach mit den Administrator Daten füttern? Würde ich eigentlich nicht so gerne machen, weil:

 

1. Ich nicht weiss, wie die Daten im Programm selbst verschlüsselt werden

2. Die LDAP-Übertragung ja nicht verschlüsselt ist - oder ist es mit wenig Aufwand möglich eine SSL-Verbindung mit Zertifikat für LDAP einzuführen?

3. Der Admin ja auch Schreibrechte etc. hat und ich keine Lust habe, dass mir das Programm durch evtl. Funktionsfehler o.ä. die ADS zerschiesst.

 

So, ich hoffe ich erschlage euch nicht mir dem Wust an Fragen und freue mich auf eure Antworten.

 

Vielen Dank

Mika

Share this post


Link to post
Share on other sites

Servus,

 

Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation anmelden können und auch sonst KEINE Rechte haben.

 

jeder Domänen-Benutzer hat von Haus aus nur eine Leseberechtigung auf das AD.

Daher würde ich ein normales Benutzerkonto einrichten und evtl. die Option "Kennwort läuft nie ab" aktivieren. In den Benutzereigenschaften könntest du noch auswählen, dass dieses Benutzerkonto ausschließlich an einem bestimmten Client sich anmelden könnte. Somit hast du das ganze auch etwas beschränkt.

 

Ist dieser Schritt überhaupt notwendig, oder kann ich das Programm einfach mit den Administrator Daten füttern?

 

Ein normales Benutzerkonto wäre hier das ideale.

Auf keinen Fall die Benutzerdaten eines Administrators verwenden. Wenn die Software Amok laufen sollte, kann es mit dem Administrator einiges anrichten.

Dienstkonten sollten nur die Rechte erhalten, die sie auch tatsächlich benötigen und nicht mehr.

 

 

2. Die LDAP-Übertragung ja nicht verschlüsselt ist - oder ist es mit wenig Aufwand möglich eine SSL-Verbindung mit Zertifikat für LDAP einzuführen?

 

Wie man es nimmt... ;) .

 

How To Enable Secure Socket Layer (SSL) Communication over LDAP for Windows 2000 Domain Controllers

 

3. Der Admin ja auch Schreibrechte etc. hat und ich keine Lust habe, dass mir das Programm durch evtl. Funktionsfehler o.ä. die ADS zerschiesst.

 

Korrekt. Daher "nur" ein Benutzerkonto.

Share this post


Link to post
Share on other sites

Vielen Dank! Das hat mir schon weiter geholfen. Den Link, den du gepostet hast bezieht sich ja auf W2k Domaincontroller. Ist die Vorgehensweise beim W2k3 DC analog?

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...