Jump to content

AD als Identity-Provider für externen Webdienst


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir nutzen einen extern gehosteten (SSL-)Webdienst der Authentifizierung erfordert und eine LDAP sowie Radius Schnittstelle dafür anbietet.

Wir möchten dass sich alle Nutzer unseres ADs an dieser Webseite anmelden können.

Die Herausforderung ist nun, wie man den Tunnel ins eigene LAN und damit letztlich ins AD schlägt. Dafür suche ich Lösungsansätze.

Komplexe Verfahren wie shibboleth oder AD FS werden von Diensteanbieter nicht unterstützt und wären vielleicht auch die Kanonen auf die Spatzen...

 

Danke für eure Vorschläge!

Link zu diesem Kommentar

Hi,

 

was genau ist Deine Frage? ;)

Soll heißen, was genau meinst Du mit "Tunnel" und "Lösungsansätze" - möchtest Du Hinweise zum Netzwerk selbst, zur Sicherheit oder ... oder ...? :)

 

Alternativ könntet Ihr auch einmal über ADAM / AD LDS nachdenken - wenn die Applikation ausschließlich LDAP nutzt, wäre dies vielleicht eine Alternative entgegen dem Öffnen Eures internen Netzwerkes.

 

Viele Grüße

olc

Link zu diesem Kommentar

Die genaue Frage wäre wie ich die Authentifizierung über das bestehende AD hinbekomme, ich bin für alle grundsätzlichen Vorschläge offen.

Es sind mehrere tausend Nutzer die die Webseite nutzen können sollen, natürlich mit den gleichen Kennungen "wie immer".

Systeme wie ADAM sind doch wieder eigenständige Verzeichnisse, oder?

Einfachste Lösung wäre LDAP(S) simple Bind direkt auf einen DC mit selektiven NAT über eine offizielle IP Adresse auf den internen DC.

Gefällt mir aber nicht so recht und ich bin auf der Suche nach Alternativen.

Link zu diesem Kommentar
Moin,

 

mir würde da auch am ehesten ADAM in den Sinn kommen. Das ist ein separates LDAP-Verzeichnis (genau das ist ja der Witz daran!), das du aber mit dem AD synchronisieren kannst.

 

Gruß, Nils

 

OK, der Synchronisationsvorgang müsste dann aber ein ständiger Prozess sein, das z.B. Kennwortänderungen und neue Konten/Kontensperrungen ständig abgeglichen sind. Leistet ADAM dies?

Link zu diesem Kommentar

Moin,

 

"ständig abgeglichen" ist relativ. Je nach Struktur kann das auch AD selbst nicht leisten. Alles eine Frage der Anforderungen.

 

Aber: ich habe jetzt erst wahrgenommen, dass bei eurem DL auch RADIUS möglich ist. Das dürfte doch eher eine Variante sein.

 

Von einem "Tunnel ins LAN" würde ich absehen. Vor allem, wenn es mal eben um die AD-Anmeldung geht. Dafür wurde doch u.a. RADIUS erfunden.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...