Jump to content

Anmeldeinformationen im AD über Radius Server?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

ich bin gerade dabei herauszufinden in wie weit man Anmeldeinformationen aus einem 2003 Active Directory Server herausbekommen, wenn ein Benutzer sich über einen "Radius Server" Authentifiziert? geht das überhaupt, wenn ja, welches Attribut ist hier verantwortlich?

 

Danke schon mal für einen Tipp von Euch.

 

Gv,

Benno

Link zu diesem Kommentar

Hallo,

 

sorry das ist etwas sehr unspezifisch, kannst Du nochmal beschreiben, was Du genau machen willst?

 

Wenn Du meinst, dass ein Benutzer sich über Radius authentifiziert, meinst du damit den AD-integrierten IAS / NPS Radius?

 

Und welche Information ist das, die Du genau herausbekommen willst? Anmeldenamen? Der müßte dem Benutzer ja bekannt sein, denn sonst hätte er sich nicht authentifizieren können. Oder willst generell Informationen anderer Objekte aus dem AD auslesen?

 

Du siehst: Fragen über Fragen...

 

Gruß,

Philipp

Link zu diesem Kommentar

Hallo Philipp,

erst mal vielen Dank für dein Feedback. Ich vermute der Rdius Server ist nicht der AD-Server. Ich werde versuchen Morgen mehr Informatioenen heraus zu bekommen, da das Netz recht gross ist hier und ich nur ein externer bin. Es sollen Informationen der Benutzeranmeldung herausgefunden werden.

 

Danke noch mal & viele Grüße,

Benno

Link zu diesem Kommentar

Hallo,

 

also wenn ich das so verstehen soll, dass Du wissen willst, ob und wann ein Benutzer im AD authentisiert wurde, dann ist es so, dass ALLE Anmeldungen, egal über welchen Kanal (Ctrl-Alt-Del an einer Station oder einem Server, NET USE übers Netz, über Radius gegen AD, pure LDAP-Verbindungen über Script etc. etc.) immer in den entsprechenden Attributen im Ad hinterlegt werden: lastLogon und lastLogonTimestamp.

 

Es sind jedoch einige Details bei diesen Attributen zu beachten, schau am besten mal hier nach:

 

SelfADSI : Attribute für AD User - lastLogon

 

SelfADSI : Attribute für AD User - lastLogonTimestamp

 

und das hier:

SelfADSI : Microsoft Timestamp / Interval Attribute mit Integer8 Syntax

 

Gruß,

Philipp

Link zu diesem Kommentar

Hallo Philipp,

so wie ich das verstanden habe, werden MAC Adresse zur VPN Einwahl über einen Switch, dann über den Radius zur AD und im AD gibt es eine OU mit einer Liste von erlaubten MAC Adressen. Ziel ist es die MAC Adressen gelegentlich zu prüfen, ob diese noch Aktiv ist. Wenn diese länger als 90 Tage kein logon durchgeführt hat, soll diese gelöscht werden. Die Information ist nicht im "LastLogon" zu finden. Ich habe gerade gelesen, dass ein Attribut "AccessRequest" auch geschrieben wird. Wie und wo kann ich die Auslesen?

 

Danke schon mal für Eure Unterstützung.

 

GvB

Link zu diesem Kommentar

Hallo benno,

 

hmm, also ein "AccessRequest" ist bei den Standard-Attributen von AD nicht dabei, wird das vielleicht durch die Installation der Radius-Umgebung durch eine Schema-Erweiterung hinzugefügt? Von weitem ist es schwer zu sagen, wie Du damit umgehen sollst...

 

Du mußt mal mit einem LDAP Browser (ADSIEdit, LEX, Softerra, etc.) direkt nachschauen, ob dieses Attribut bei Euren Benutzern vorhanden ist...

 

Dann läßt es sich auch auslesen, z.B. mit einem Script oder mit DSQUERY.

 

Gruß,

Philipp

Link zu diesem Kommentar
  • 1 Monat später...

Hallo!

 

Ich möchte das Thema nochmals aufgreifen weil es bei mir gerade aktuell ist bzw. ich aufgrund der bisherigen Antworten noch nicht weiß ob das auch funktioniert.

 

Mittels mOTP habe ich einen FreeRadius Server installiert. Es gibt für Handhelds diverse mOTP Applikationen welche mir ein One Time Passwort erstellen, welches mittels Radius mit dem Server abgeglichen werden. Funktioniert auch bestens, diverse Logins welche die Userauthentifizierung über den Radius Server fahren habe ich schon hinbekommen.

 

Jetzt zur Frage:

Kann ich diesen Radius Server irgendwie ins Active Directory einbinden? Dass also die Anmeldungen an der Domäne über die "Passwortverwaltung" des Radius fährt wo ich ja die OTP Lösung habe?

 

Ich weiß, es gibt genügend OTP Middleware für die Einbindung ins AD, die aber eben Geld kostet. Funktioniert das nicht auch anders?

 

LG

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...