Jump to content

User nur mit Leserechten für AD anlegen (ldap_auth)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich möchte in einer Software die Benutzerverwaltung über das Active Directory laufen lassen, auf welches via LDAP zugegriffen wird. Ein entsprechender Menüpunkt ist in der Software auch vorhanden. Ich habe die Einstellungen soweit vorgenommen und es funktioniert.

 

Das ganze läuft in einer 2003er Umgebung mit einem Domänencontroller

 

Nun zu meiner Frage:

 

Das Programm erfordert zwingend einen Benutzernamen und Kennwort mit Leserechten auf dem LDAP Server. Testweise habe ich einfach mal meine Login-Daten eingegeben und das funktioniert ja auch wie bereits erwähnt.

 

Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation anmelden können und auch sonst KEINE Rechte haben.

 

Verständnisfrage:

 

Ist dieser Schritt überhaupt notwendig, oder kann ich das Programm einfach mit den Administrator Daten füttern? Würde ich eigentlich nicht so gerne machen, weil:

 

1. Ich nicht weiss, wie die Daten im Programm selbst verschlüsselt werden

2. Die LDAP-Übertragung ja nicht verschlüsselt ist - oder ist es mit wenig Aufwand möglich eine SSL-Verbindung mit Zertifikat für LDAP einzuführen?

3. Der Admin ja auch Schreibrechte etc. hat und ich keine Lust habe, dass mir das Programm durch evtl. Funktionsfehler o.ä. die ADS zerschiesst.

 

So, ich hoffe ich erschlage euch nicht mir dem Wust an Fragen und freue mich auf eure Antworten.

 

Vielen Dank

Mika

Link zu diesem Kommentar

Servus,

 

Wie kann ich also nun einen Benutzer einrichten, der NUR die Leseberechtigung auf das Active Directory hat. Dieser Benutzer soll sich nicht an der Domäne also über eine Workstation anmelden können und auch sonst KEINE Rechte haben.

 

jeder Domänen-Benutzer hat von Haus aus nur eine Leseberechtigung auf das AD.

Daher würde ich ein normales Benutzerkonto einrichten und evtl. die Option "Kennwort läuft nie ab" aktivieren. In den Benutzereigenschaften könntest du noch auswählen, dass dieses Benutzerkonto ausschließlich an einem bestimmten Client sich anmelden könnte. Somit hast du das ganze auch etwas beschränkt.

 

Ist dieser Schritt überhaupt notwendig, oder kann ich das Programm einfach mit den Administrator Daten füttern?

 

Ein normales Benutzerkonto wäre hier das ideale.

Auf keinen Fall die Benutzerdaten eines Administrators verwenden. Wenn die Software Amok laufen sollte, kann es mit dem Administrator einiges anrichten.

Dienstkonten sollten nur die Rechte erhalten, die sie auch tatsächlich benötigen und nicht mehr.

 

 

2. Die LDAP-Übertragung ja nicht verschlüsselt ist - oder ist es mit wenig Aufwand möglich eine SSL-Verbindung mit Zertifikat für LDAP einzuführen?

 

Wie man es nimmt... ;) .

 

How To Enable Secure Socket Layer (SSL) Communication over LDAP for Windows 2000 Domain Controllers

 

3. Der Admin ja auch Schreibrechte etc. hat und ich keine Lust habe, dass mir das Programm durch evtl. Funktionsfehler o.ä. die ADS zerschiesst.

 

Korrekt. Daher "nur" ein Benutzerkonto.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...