LDAP Zugriff aus DMZ

[Netscape 11]

Hi,

 

für einen Spamfilter (Postfix in DMZ) brauche ich eine aktuelle userliste mit e-mail Adressen. Das wollte ich mit AD LDS realisieren.

 

Zum zweiten wollten wir eventuell einen Webservice in der DMZ installieren. Dieser bietet auch die Möglichkeit sich an LDAP zu authentifizieren. Nur sollen ja natürlich nicht die Passwörter in der DMZ liegen.

 

Kann man das über den AD LDS mit der LDAP Proxy Funktion machen oder kann man das anders machen oder sollte man das gar nicht machen?

[P.Foeckeler 11]

Hallo,

 

also grundsätzlich wäre es nicht ratsam, Verzeichnis-Informationen in der DMZ zu halten - auch wenn es sich dabei nicht um "die Passwörter" handelt, sondern "nur" um AD LDS Proxy-Accounts.

 

Besser (wenn auch nicht so richtig toll) wäre hier ein niedrig privilegierter Account für den Postfix, der über LDAP aufs interne AD lesend zugreifen darf und dort die Infos ausliest... Für den Webservice müßte dann auch eine entsprechende Verzeichins-Authentifizierung von der DMZ in Richtung internes AD "aufgemacht" werden. In beiden Fällen wären also keine Verzeichnis-Daten in der DMZ. Sehr wohl ist jedoch die Öffnung von z.B. LDAP-Ports von der DMZ in Richtung internes Netz notwendig, und das ist nicht so schön... Für den Web-Service evtl. sogar Kerberos, d.h. also noch zusätzliche Ports. Aber AD LDS mit Proxy-Accounts in der DMZ ist noch schlimmer, denn da wäre ja auch eine Authentifizierung zwischen AD LDS und interme Ad notwendig, d.h. wieder: offene Ports in der Firewall von aussen nach innen.

 

Ginge es nur um Postfix, so würde ich einfach per Script regelmäßig eine Text-Datei raushauen, in der alle existierenden User-Mailadressen aufgeführt werden. Diese Datei ladet Ihr dan per SCP auf den Postfix-Hobel, dort wird sie dann als Virtual Table ins Postfix-System eingebunden, ist übrigens auch viel performanter als dauernde LDAP-Abfragen während der Postfix-Queue-Verarbeitung.... Und: Man braucht nur Ports von innen nach aussen in die DMZ zu öffnen! :)

 

Was die Web-Anwendung angeht: Wenn man die offenen Ports partout vermeiden will, müßte man sich vielleicht AD Federation Services anschauen.... das ist eigentlich genau dafür gedacht.

 

Gruß,

Philipp

[NilsK 2.789]

Moin,

 

wobei man AD LDS durchaus nutzen könnte, aber dann nicht als LDAP-Proxy, sondern mit einem regelmäßigen Export der nötigen Attributwerte. Also so, wie Exchange Edge es auch machen würde.

 

Gruß, Nils

[NorbertFe 1.810]

Ja, aber der legt das sogar noch verschlüsselt im AD LDS ab, ob man sowas in Eigenregie hinbekommt? ;) Ich meine, wenn sicher, dann richtig, ansonsten tendiere ich auch eher zu Philipps Lösung.

 

Bye

Norbert

[Dukel 436]

Vielleicht ist folgendes eine alternative zu direktem Zugriff, Unter "Postfix als Interimslösung":

MSXFAQ.DE - RCPTTO

[Netscape 11]

Danke schonmal für die Antworten.

 

Also der Postifx ist nicht das Problem. Da kann ich auch die E-Mail Adressen aus dem AD exportieren und auf dem Postfix Server in eine MySQL DB importieren.

 

AD LDS hätte sich da nur angeboten, wie Nils auch schon gesagt hat, weil man die Attribute definieren kann, die exportiert werden sollen. Im Falle von Postifx also die E-Mail Adressen.

 

Den AD FS halte ich für etwas übertrieben. Und soweit ich das verstanden habe, ist der ja auch für externe Partner, Lieferanten,.. gedacht und auch nicht ohne weiteres für jede Webanwendung geeignet (Microsoft spricht hauptsächlich von SharePoint).

 

Und da es sich bei uns auch nicht um eine selbstentwickelte Anwendung handelt, kann man da auch den Code nicht anpassen.

 

Unsere internen User sollen sich in dieser Webanwendung authentifizieren können (mittels LDAP oder SSO). Das soll nicht nur von Intern sondern auch von extern möglich sein.

 

Also ist wohl mal wieder der Königsweg zwischen Nutzen und Sicherheit gefragt.