Jump to content

AD (intern) & LDAP (DMZ) Sync


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Guten Tag,

 

ich habe ein AD in unserem internen Netz in dem unsere User angelegt sind..
 
Ich habe zusätzlich eine DMZ auf dem organisatorische Webdienste laufen. 
Die User können aus dem Internet darauf zugreifen. Anmelden tun sie sich jedoch nicht mit dem AD-Konto, sondern mit einem extra Konto (welche Credentials in einem LDAP hinterlegt werden).
 
1.Konto für internes AD
2.Konto für DMZ LDAP
 
Ich möchte einen Weg finden, dass die User sich mit dem internen AD Konto am LDAP (in der DMZ) anmelden können.
 
Sicherheitsrisiko:

Aus der DMZ darf nicht aufs interne Netz zugegriffen werden, aller höchstens ist es möglich, dass man vom internen AD die Daten (user,passwort,metadaten) in die DMZ schiebt.

 

Ich suche gerade selbst nach Lösungsvorschlägen und bin bisher schon auf die LDAP-Branch "389-DS" gestoßen, die vorgibt eine AD zu sein, damit könnte man eventuell einen AD export in die DMZ senden - Allerdings scheint mir das nicht optimal zu sein.

 

Ich bin mir sicher, dass ich nicht der einzige mit diesem Problem bin und hoffe auf eure Mithilfe.

 

Ich bin neu hier und hoffe auf reichlich Feedback. Sollte etwas unklar sein, fragt bitte nach.

 

Gruß

 

gn0x

Link to comment

Das wäre natürlich verschlüsselt und es müssten Zertifikate á la publickeys ausgetauscht werden.

Also ich möchte meine Firewall auf garkeinen Fall aufmachen. Ich möchte das ganze über "pushs" oder "pulls" aus dem intern Netz steuern.

Danke für den Tipp "ADFS", ich werde mir das heute nach der Arbeit einmal genauer anschauen.

 

Gruß

Link to comment

Read Only Domain Controller in die DMZ, Sync ports öffnen.

Ich möchte definitv kein Loch in die Firewall bohren. Es soll auf keinen Fall Zugriff aus der DMZ ins Interne Netz erfolgen (ausgeschlossen ist natürlich ein handshake). Die Lösung ADFS beinhaltet leider genau das: Ein Zugriff aus der DMZ ins interne Netz. (Zwar verschlüsselt jedoch trotzdem unsicher).

Es muss doch eine Möglichkeit geben, ich denke mir es müssten doch tausende dieses Problem (oder eine Lösung) haben. Vielen Dank für die zahlreiche Unterstützung.

 

Gruß

Link to comment
  • 2 months later...

ich hatte das falsch aufgenommen.

Natürlich müssen Ports geöffnet werden, da sonst ja keine Verbindung zustande kommen könnte. Allerdings wird der Port nur von innen nach außen geöffnet. Die DMZ darf nicht den Request stellen.

Wie läuft das beim RODC ? Fragt er die interne AD an oder wird manuell oder nach Zeitplan (zb alle 3 std) in die DMZ synchronisiert?

Link to comment

Hi gn0x,

 

Du könntest Dir mal AD LDS ansehen: http://technet.microsoft.com/de-de/library/cc754361(v=ws.10).aspx. Stichwort: Bereitstellen eines Extranet-Authentifizierungsspeichers.

 

Allerdings halte ich Deine Anforderung für ziemlich hoch. Du willst einen Zugriff aus der DMZ in das interne Netzwerk unter allen Umständen verhindern. Dafür nimmst Du in Kauf, dass alle (!) Benutzerdaten und Kennworte (!) in die DMZ gepushed werden sollen. Verschlüsselung hin, Verschlüsselung her, in der DMZ müssen die Kennworte irgendwie entschlüselt werden, damit eine Authentifizierung stattfinden kann.

 

Die einzige Variante, die ich hier sehe, wäre Forefront Identity Manager. Du müsstest einen separaten Kennworthash bei jedem Passwortwechsel intern erzeugen und diesen in die DMZ pushen: http://technet.microsoft.com/en-us/library/jj590203(v=ws.10).aspx. Dann kann eine Anmeldung in der DMZ gegen diesen separaten Hash geprüft werden und der Hash kann nicht verwendet werden gegen das interne System. Das ist so hochgradig paranoid, dass wir das genau so bei dem Office 365 Password Sync Tool für 'Same Sign On' machen ;-)

 

Technisch einfacher ist es aber, den NPS als Radius Server im LAN zu implementieren und in der DMZ einen NPS-Proxy zu installieren. Der braucht dann nicht Mitglied der Domäne sein und Du erlaubst nur die RADIUS-Kommunikation zwischen NPS-Proxy und NPS-Server intern: http://technet.microsoft.com/en-us/library/dd197525(v=ws.10).aspx. Du hast doch sicher eine Application Layer Firewall, die das RADIUS-Protokoll versteht und mit RADIUS-Inspection das entsprechend filtern kann?

 

Have fun!
Daniel

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...