Jump to content

Ldap Authentifizierung gegen Globalen Katalog


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

ich bin neu hier, habe jedoch gleich ein nicht ganz triviales Anliegen. Ich habe in unserer Firma eine Forest Struktur mit zwei Standorten aufgebaut, da wir in einem Standort eine andere DNS Struktur haben, befinden sich nun zwei Domänen in diesem Forest.

Die Benutzer liegen dabei in einer Office-Domäne, sollen jedoch im anderen Standort zur Authentifizerung von Windows-Servern, Webapplikationen und Linux-Servern genutzt werden können. Für die Windows-Server ist das ohne größere Schwierigkeiten über die Vertrauensstellungen des Forests möglich.

 

Die Authentifizierung über Kerberos war für Team-Mitglieder und Vorgesetzte nicht gerne gesehen, da es das Konfiguratinsmanagement bei uns verkomplizieren würde. Für die Linux-Server und Webapplikationen habe ich angedacht die Authentifizierung gegen den globalen Katalog laufen zu lassen, da dieser Katalog, meiner Meinung nach, nix anderes als ein LDAP-Server mit ausgewählten Attributen aller Domänen ist. In meiner Testumgebung hat die Konstellation gut funktioniert.

 

In der aktuellen Pilotphase in der Produktionsumgebung habe ich jetzt allerdings das Problem, dass LDAP-Binds in manchen Fällen sehr lange brauchen. Ich habe den Traffic mal mitgesnifft und gesehen, dass zwischen LDAP bind requests und LDAP bind responses manchmal bis zu 40 Sekunden liegen.

 

Hat von euch jemand schon einmal Erfahrungen mit dieser Thematik gesammelt?

Persönlich halte ich es für ein Problem des Globalen Kataloges.. Ich habe zum Vergleich mal einfache ldapsearches gegen 389 und gegen 3268 ausgeführt und gesehen das die binds bisher nur bei 3268 (globaler Katalog) lange gedauert haben.

Ist der Globale Katalog evtl für LDAP-Authentifizierungen ungeeignet und wenn ja, wisst ihr warum? Kennt ihr evtl andere Lösungsansätze für mein Problem.. Ich denke hier sind wahre Experten gefragt ;-)

 

Viele Grüße

Lörres

Link to comment
Ist der Globale Katalog evtl für LDAP-Authentifizierungen ungeeignet und wenn ja, wisst ihr warum? Kennt ihr evtl andere Lösungsansätze für mein Problem.. Ich denke hier sind wahre Experten gefragt ;-)

Tut mir leid, aber deinen Ausführungen kann ich vom ersten bis zum letzten Satz nicht folgen!

 

Jedenfalls

1) gibt es keine LDAP-Authentifizierungen

2) authentifiziert sich niemand gegen einen Global Catalog,

 

Es gibt z.B. eine Kerberos-, NTLM-, Digest, Schannel oder Simple-Bind- Authentifizierung. Im Trace müsstest du sehen, wie du authentifiziert bist.

Bist du z.B. gegen den KDC authentifiziert, kannst LDAP-Queries auf 389 oder 3268 ausführen.

 

Vielleicht lieg ich falsch, aber es hört sich jedenfalls so an, dass das Verständnis für  Forest, Domäne, LDAP, Global Catalog, Kerberos, Authentifizierung etc. bei euch nicht wirklich vorhanden ist.

 

blub

Link to comment

Eine kurze recherche im Internet wird dir aufzeigen, dass es möglich ist, sich über Ldap zu authentifizieren (sogar das es eine grundlegende Funktionalität von Ldap ist). In meiner letzten Firma haben wir 30k user gegen ldap authentifiziert. Wenn du das geschriebene nicht verstehst, keine konkreten Lösungsvorschläge hast, oder nichts konstruktives beitragen willst, musst du nicht auf dieses Thema antworten. Das du niemanden kennst, der sich gegen einen gc authentifiziert, muss auch nicht bedeuten das es niemanden gibt der das evtl tut. Ich jedenfalls kann deine beiden aussagen durch einen gegenbeweis widerlegen...

Grüße lörres

Link to comment

Moin und lass mal etwas Dampf aus dem Kessel,

 

formal betrachtet, ist LDAP nur ein Anwendungsprotokoll. Mit Ausnahme von simple bind und sasl plain text gibt es im LDAP keine Authentifizierung.

Da weder das AD noch andere seriöse X.500 kompatible Verzeichnisdienste die Kennwörter in Plantext ablegen, wird immer ein zusätzlicher Authentifizierungsmechanismus benötigt.

 

Wenn Du aus einer 30k User Umgebung kommst und Probleme mit den Basics hast, würde ich mal über professionelle Hilfe nachdenken.

  • Like 1
Link to comment

Wenn Du aus einer 30k User Umgebung kommst und Probleme mit den Basics hast, würde ich mal über professionelle Hilfe nachdenken.

edit:

 

Das mein Fachwissen bezüglich Forests/GC noch ausbaubar ist, ist durchaus wahr, weshalb ich mich dazu durchgerungen habe nach "professioneller Hilfe" in einem "MCSE"-Board zu suchen.

 

Sowohl in der 30k Umgebung (openldap), als auch in der neuen Firma, verwenden wir Simple Bind über TLS.

Die Frage ist nun, gibt es noch jemanden der ähnliches schon einmal gegen den GC gemacht hat? Gibt es Gründe die dagegen sprechen? Denn technisch ist es möglich, allerdings habe ich wie gesagt in seltenen Fällen mit langen Antwortzeiten zu kämpfen. Die habe ich allerdings auch schon bei einfachen Ldapsearches.

Edited by Lörres
Link to comment
Ist der Globale Katalog evtl für LDAP-Authentifizierungen ungeeignet und wenn ja, wisst ihr warum?

Ich will dir ja helfen und die Antwort zumindest auf diese, deine letzte Frage kann nur sein

-schau dir an was ein GC ist

-schau dir an was LDAP ist

-schau dir an, was eine Authentifizierung ist

und dann wirst du auch herausfinden, warum deine Abfrage manchmal 40s dauert. Vielleicht liegts am DNS, am Signing, an der Abfrage selbst, an 100 anderen möglichen Ursachen

Link to comment

Bei uns sind alle DCs auch GC. Haben 2 Domänen im Forest. Wir haben einige Dienste die dann LDAP Auth per SSL machen gegenüber den FQDN der Domänen, was ja dann letztlich wieder die DCs sind. 60.000 Nutzer, so um die 2000-3500 Auths pro Tag. Verstehe nicht so recht was ihr hier mit dem GC vor habt und nicht direkt an die DCs ran geht.

Link to comment

hast du dazu mal einen Link?

Nö, das ist ja nicht LDAPS spezifisch, sondern allgemein bei Zertifikaten :-) Wenn die im Zertifikat angegebene CRL- oder OCSP-Adresse nicht erreichbar ist (weil z.B. per Firewall geblockt), dann rennt der Revocation Check in einen Timeout von 30 Sekunden.

 

Hatten wir mal beim IE, wo ein CA-Zertifikat (Infonotary) als CRL nicht http:// verwendet hat, sondern ldap:// - und das wurde natürlich nicht durchgelassen, sondern verworfen. Lösung war, die zu der ldap-Adresse gehörenden IPs in der lokalen Windows-Firewall zu blocken, dann geht's sofort.

Link to comment

ja, das ist mir schon soweit klar.

Nur wo genau ein 30s Timeout steckt, hätte mich interessiert

 

Die CRL-Datei wird von einem CDP vor deren Ablauf lokal heruntergeladen. Entweder funktioniert die CRL-Aktualisierung und das Certificate kann verwendet werden, oder eben nicht.

Bei einem DC Server-Zertifikat sollte die CRL-Lebensdauer außerdem recht lange sein.

 

Der To ist wohl schon weg: Von LDAPS hatte er aber nichts geschrieben, sondern nur von "ldapsearches gegen 389 und gegen 3268"

Link to comment

Die CRL-Datei wird von einem CDP vor deren Ablauf lokal heruntergeladen. Entweder funktioniert die CRL-Aktualisierung und das Certificate kann verwendet werden, oder eben nicht.

 

Ja, und in unserem Fall war das eben keine Datei, sondern eine LDAP-URL. Der Timeout steckt irgendwo im Webzugriff, wenn der Request gedroppt wird, konnten wir im Trace gut sehen. smile.gif

Link to comment

Moin,

 

Nö, das ist ja nicht LDAPS spezifisch, sondern allgemein bei Zertifikaten :-) Wenn die im Zertifikat angegebene CRL- oder OCSP-Adresse nicht erreichbar ist (weil z.B. per Firewall geblockt), dann rennt der Revocation Check in einen Timeout von 30 Sekunden.

 

standardmäßig sind es 20 Sekunden - über alle verfügbaren Pfade. Dabei nutzt der Client die Hälfte der Zeit für den ersten Pfad und versucht erst dann den zweiten. Nach der Hälfte der verbleibenden Zeit den dritten usw. Wenn also erst am Ende ein erreichbarer Pfad steht, kann es sein, dass die Zeit nicht mehr für den Download reicht.

 

Die CRL-Pfade sind also auch eine wichtige Designfrage. Der erste sollte immer verfügbar sein.

 

Gruß, Nils

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...