Jump to content
Sign in to follow this  
niesfisch

AD als Identity-Provider für externen Webdienst

Recommended Posts

Hallo,

 

wir nutzen einen extern gehosteten (SSL-)Webdienst der Authentifizierung erfordert und eine LDAP sowie Radius Schnittstelle dafür anbietet.

Wir möchten dass sich alle Nutzer unseres ADs an dieser Webseite anmelden können.

Die Herausforderung ist nun, wie man den Tunnel ins eigene LAN und damit letztlich ins AD schlägt. Dafür suche ich Lösungsansätze.

Komplexe Verfahren wie shibboleth oder AD FS werden von Diensteanbieter nicht unterstützt und wären vielleicht auch die Kanonen auf die Spatzen...

 

Danke für eure Vorschläge!

Share this post


Link to post

Hi,

 

was genau ist Deine Frage? ;)

Soll heißen, was genau meinst Du mit "Tunnel" und "Lösungsansätze" - möchtest Du Hinweise zum Netzwerk selbst, zur Sicherheit oder ... oder ...? :)

 

Alternativ könntet Ihr auch einmal über ADAM / AD LDS nachdenken - wenn die Applikation ausschließlich LDAP nutzt, wäre dies vielleicht eine Alternative entgegen dem Öffnen Eures internen Netzwerkes.

 

Viele Grüße

olc

Share this post


Link to post

Die genaue Frage wäre wie ich die Authentifizierung über das bestehende AD hinbekomme, ich bin für alle grundsätzlichen Vorschläge offen.

Es sind mehrere tausend Nutzer die die Webseite nutzen können sollen, natürlich mit den gleichen Kennungen "wie immer".

Systeme wie ADAM sind doch wieder eigenständige Verzeichnisse, oder?

Einfachste Lösung wäre LDAP(S) simple Bind direkt auf einen DC mit selektiven NAT über eine offizielle IP Adresse auf den internen DC.

Gefällt mir aber nicht so recht und ich bin auf der Suche nach Alternativen.

Share this post


Link to post

Moin,

 

mir würde da auch am ehesten ADAM in den Sinn kommen. Das ist ein separates LDAP-Verzeichnis (genau das ist ja der Witz daran!), das du aber mit dem AD synchronisieren kannst.

 

Gruß, Nils

Share this post


Link to post
Moin,

 

mir würde da auch am ehesten ADAM in den Sinn kommen. Das ist ein separates LDAP-Verzeichnis (genau das ist ja der Witz daran!), das du aber mit dem AD synchronisieren kannst.

 

Gruß, Nils

 

OK, der Synchronisationsvorgang müsste dann aber ein ständiger Prozess sein, das z.B. Kennwortänderungen und neue Konten/Kontensperrungen ständig abgeglichen sind. Leistet ADAM dies?

Share this post


Link to post

Moin,

 

"ständig abgeglichen" ist relativ. Je nach Struktur kann das auch AD selbst nicht leisten. Alles eine Frage der Anforderungen.

 

Aber: ich habe jetzt erst wahrgenommen, dass bei eurem DL auch RADIUS möglich ist. Das dürfte doch eher eine Variante sein.

 

Von einem "Tunnel ins LAN" würde ich absehen. Vor allem, wenn es mal eben um die AD-Anmeldung geht. Dafür wurde doch u.a. RADIUS erfunden.

 

Gruß, Nils

Share this post


Link to post

Und für Radius den IAS bzw. IAS Proxy nutzen?

Nochmal zum ADAM, klar muss hier nicht in Echtzeit synchronisiert werden, aber in angemessenen Abständen muss schon Synchronität hergestellt werden. Ich wollte damit nur sagen das eine manuelle Einmalsynchronisierung nicht nützt.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...