Jump to content
Sign in to follow this  
benno

Anmeldeinformationen im AD über Radius Server?

Recommended Posts

Hallo Leute,

ich bin gerade dabei herauszufinden in wie weit man Anmeldeinformationen aus einem 2003 Active Directory Server herausbekommen, wenn ein Benutzer sich über einen "Radius Server" Authentifiziert? geht das überhaupt, wenn ja, welches Attribut ist hier verantwortlich?

 

Danke schon mal für einen Tipp von Euch.

 

Gv,

Benno

Share this post


Link to post

Hallo,

 

sorry das ist etwas sehr unspezifisch, kannst Du nochmal beschreiben, was Du genau machen willst?

 

Wenn Du meinst, dass ein Benutzer sich über Radius authentifiziert, meinst du damit den AD-integrierten IAS / NPS Radius?

 

Und welche Information ist das, die Du genau herausbekommen willst? Anmeldenamen? Der müßte dem Benutzer ja bekannt sein, denn sonst hätte er sich nicht authentifizieren können. Oder willst generell Informationen anderer Objekte aus dem AD auslesen?

 

Du siehst: Fragen über Fragen...

 

Gruß,

Philipp

Share this post


Link to post

Hallo Philipp,

erst mal vielen Dank für dein Feedback. Ich vermute der Rdius Server ist nicht der AD-Server. Ich werde versuchen Morgen mehr Informatioenen heraus zu bekommen, da das Netz recht gross ist hier und ich nur ein externer bin. Es sollen Informationen der Benutzeranmeldung herausgefunden werden.

 

Danke noch mal & viele Grüße,

Benno

Share this post


Link to post

Hallo,

 

also wenn ich das so verstehen soll, dass Du wissen willst, ob und wann ein Benutzer im AD authentisiert wurde, dann ist es so, dass ALLE Anmeldungen, egal über welchen Kanal (Ctrl-Alt-Del an einer Station oder einem Server, NET USE übers Netz, über Radius gegen AD, pure LDAP-Verbindungen über Script etc. etc.) immer in den entsprechenden Attributen im Ad hinterlegt werden: lastLogon und lastLogonTimestamp.

 

Es sind jedoch einige Details bei diesen Attributen zu beachten, schau am besten mal hier nach:

 

SelfADSI : Attribute für AD User - lastLogon

 

SelfADSI : Attribute für AD User - lastLogonTimestamp

 

und das hier:

SelfADSI : Microsoft Timestamp / Interval Attribute mit Integer8 Syntax

 

Gruß,

Philipp

Share this post


Link to post

Hallo Philipp,

so wie ich das verstanden habe, werden MAC Adresse zur VPN Einwahl über einen Switch, dann über den Radius zur AD und im AD gibt es eine OU mit einer Liste von erlaubten MAC Adressen. Ziel ist es die MAC Adressen gelegentlich zu prüfen, ob diese noch Aktiv ist. Wenn diese länger als 90 Tage kein logon durchgeführt hat, soll diese gelöscht werden. Die Information ist nicht im "LastLogon" zu finden. Ich habe gerade gelesen, dass ein Attribut "AccessRequest" auch geschrieben wird. Wie und wo kann ich die Auslesen?

 

Danke schon mal für Eure Unterstützung.

 

GvB

Share this post


Link to post

Hallo benno,

 

hmm, also ein "AccessRequest" ist bei den Standard-Attributen von AD nicht dabei, wird das vielleicht durch die Installation der Radius-Umgebung durch eine Schema-Erweiterung hinzugefügt? Von weitem ist es schwer zu sagen, wie Du damit umgehen sollst...

 

Du mußt mal mit einem LDAP Browser (ADSIEdit, LEX, Softerra, etc.) direkt nachschauen, ob dieses Attribut bei Euren Benutzern vorhanden ist...

 

Dann läßt es sich auch auslesen, z.B. mit einem Script oder mit DSQUERY.

 

Gruß,

Philipp

Share this post


Link to post

Hallo!

 

Ich möchte das Thema nochmals aufgreifen weil es bei mir gerade aktuell ist bzw. ich aufgrund der bisherigen Antworten noch nicht weiß ob das auch funktioniert.

 

Mittels mOTP habe ich einen FreeRadius Server installiert. Es gibt für Handhelds diverse mOTP Applikationen welche mir ein One Time Passwort erstellen, welches mittels Radius mit dem Server abgeglichen werden. Funktioniert auch bestens, diverse Logins welche die Userauthentifizierung über den Radius Server fahren habe ich schon hinbekommen.

 

Jetzt zur Frage:

Kann ich diesen Radius Server irgendwie ins Active Directory einbinden? Dass also die Anmeldungen an der Domäne über die "Passwortverwaltung" des Radius fährt wo ich ja die OTP Lösung habe?

 

Ich weiß, es gibt genügend OTP Middleware für die Einbindung ins AD, die aber eben Geld kostet. Funktioniert das nicht auch anders?

 

LG

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...