TwentySixer 0 Geschrieben 10. August 2017 Melden Geschrieben 10. August 2017 Hallo zusammen, ich habe folgendes Problem: Es existiert eine Domäne A. In der Domäne A eine Gruppe X die einige Nutzer der Domäne A beinhaltet. Es existiert eine unidirektionale Vetrauensstellung zu einer Domäne B. In der Domäne B eine Gruppe Y die Gruppe X der Domäne A beinhaltet. Nun möchte ich eine Anwendung gegen Domäne B per LDAP authentisieren und zwar nur für Nutzer die in Gruppe X der Domäne A sind also in Gruppe Y, da Gruppe Y ja Gruppe X implizit beinhaltet. Hintergrund ist das die Nutzerzuordnung in Domäne A zentral gepflegt werden soll. Jetzt habe ich das Problem einen korrekten LDAP Suchstring zu definieren. Quasi muß ich den DC der Domäne B ja fragen, ist der Nutzer Z Mitglied der Gruppe Y, dann sollte er den Baum ja durchgehen, so mein naiver Ansatz. Ich hoffe ich hab mich verständlich ausgedrückt und jemand kann mein Problem nachvollziehen Vielen Dank für die Hilfe der 26er
tesso 384 Geschrieben 10. August 2017 Melden Geschrieben 10. August 2017 Wie sieht dein LDAP-Such-String bisher aus?
NilsK 3.045 Geschrieben 11. August 2017 Melden Geschrieben 11. August 2017 Moin, muss denn die Anwendung das selbst per LDAP rausfummeln? Kann sie nicht einfach das Access Token des Users auswerten? Gruß, Nils
TwentySixer 0 Geschrieben 14. August 2017 Autor Melden Geschrieben 14. August 2017 Das ist ja gerade das Problem.Access Token scheidet aus, da es eine Webanwendung hinter einem HAProxy ist. Ich suche ja gerade die Abfrage, gib mir alle Nutzer die in dieser Gruppe sind. Die Gruppe müßte halt rekursiv durchsucht werden. Das es sich aber um eine entfernete Gruppe in einer anderen Domain handelt bin ich da etwas ratlos. Scheinbar geht sowas nicht
NilsK 3.045 Geschrieben 14. August 2017 Melden Geschrieben 14. August 2017 Moin, rekursive Abfragen sind m.W. per LDAP nicht möglich, jedenfalls nicht mit einem einzelnen Suchstring. Warum fragst du nicht Domäne A ab, wenn da sowieso die User gepflegt werden sollen? Gruß, Nils
tesso 384 Geschrieben 14. August 2017 Melden Geschrieben 14. August 2017 Doch Nils das geht. Habe ich schon mehrfach genutzt. Stichwort LDAP_MATCHING_RULE_IN_CHAIN https://msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx 1
NilsK 3.045 Geschrieben 15. August 2017 Melden Geschrieben 15. August 2017 (bearbeitet) Moin, ach, kiek an, wieder was gelernt, danke! EDIT: Wie ich gerade sehe, gibt es das schon seit Windows 2003. Seltsam, dass mir das noch nicht untergekommen ist. Dieses Wissen scheint nicht allzu verbreitet zu sein, denn mit dem Operator dürften sich zahlreiche externe Implementierungen rekursiver Auflösungen erübrigen. Interessant, muss ich bei Gelegenheit mal probieren. Bleibt aber die Frage, warum der TO nicht einfach direkt die Userbasis abfragt. Gruß, Nils bearbeitet 15. August 2017 von NilsK
tesso 384 Geschrieben 15. August 2017 Melden Geschrieben 15. August 2017 Auflösungen gegen einen Windows LDAP sind damit trivial. Bei einem Kunden war es mal ein anderer LDAP, da habe ich mir mit der Notation echt einen abgebrochen bis es funktioniert hat.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden