LDAP Zugangsdaten für LDAP Authentication

[haiflosse 10]

Danke für die Hinweise.

Werde das ganze beachten.

 

Ich wollte nur fragen, ob es technisch möglich wäre die Daten inkl. Passwort aus dem AD in eine Datei oder in eine Mysql Datenbank zu exportieren.

Würde es vorerst nur für einen Test mit Testdaten benötigen.

 

Danke

[NorbertFe 2.283]

Können kann man. Sieht man ja an Office 365, die sowas anbieten. (nein das sind nicht die Passworte, sondern die Hashes) aber ob man das dann selbst in der Form "anbieten" will oder kann? Kann ich dir leider nicht beantworten.

[NilsK 3.046]

Moin,

 

wie wir dir in dem anderen Thread schon gesagt haben: Nein, diese Möglichkeit existiert nicht. Das AD speichert die Kennwörter gar nicht, schon daher kann man sie nicht exportieren. Gespeichert werden nur die Hashes, aber auch die kann man nicht ohne weitere Klimmzüge exportieren. Und selbst wenn man es kann, nützen dir die Hashes nichts, weil du sie nicht zur Anmeldung verwenden kannst, ohne das Anmeldesystem von Active Directory zu nutzen.

 

Die einzige Möglichkeit, in mehreren getrennten Systemen dieselben Anmeldedaten für verschiedene Authentifizierungsverfahren zu nutzen, wäre ein getrennter Abgleich, der die "Rohdaten" der Konten aus dem einen System in ein anderes überträgt (das wäre simpel), dann aber die Kennwortvergabe selbst vornimmt und das Kennwort des Anwenders dann in die verschiedenen Benutzerdatenbanken schreibt. Aber bevor du jetzt sowas baust: Das ist eine Infrastruktur, die mit höchstem Sicherheitsniveau gebaut werden muss, weil sie ja nun mal sämtliche Kennwörter steuert. Sowas wie eine Ablage in einer Datenbank ist dann ein No-go, solange man keine wirklich guten Algorithmen für Verschlüsselung und Schutz der Daten implementiert.

 

Und nochmal: Du befindest dich auf einem Holzweg. Die Lösung besteht nicht darin, in deiner Anwendung die AD-Konten zu duplizieren. Sie besteht auch nicht darin, einen direkten Durchgriff von der Internetapplikation auf das interne AD zuzulassen. Wenn überhaupt, käme, wie schon gesagt, so etwas wie SAML oder OAuth in Frage, aber auch das nur mit der passenden Infrastruktur und Programmcode, der nach aktuellem Stand "sicher" entwickelt ist.

 

Um meine bisherigen Hinweise noch mal zu verschärfen: Wir reden hier nicht nur von personenbezogenen Daten, die per se hochgradig schützenswert sind (und für die ein inadäquater Umgang mit empfindlichen Strafen bewehrt ist), sondern sogar von Daten von Schutzbefohlenen. Bitte keine Experimente und kein Gebastel an dieser Stelle, auch wenn es noch so gut gemeint ist.

 

Gruß, Nils

bearbeitet 30. August 2017 von NilsK

[haiflosse 10]

Hallo!

Ich nochmals.

 

Wäre es denkbar einen LDAP Zugriff von außen, wenn man SSL über eine Firewall Fortigate und dort nur den Webserver zulässt wo die externe Anwendung liegt.

Danke nochmals

[NilsK 3.046]

Moin,

 

nein, wäre es nicht. Wenn deine PHP-Applikation geknackt wird, hat der Angreifer vollen Durchgriff auf die Anmeldedaten aller Anwender. Die Firewall-Beschränkung auf den Webserver bringt exakt überhaupt nichts, weil der Webserver das erste ist, was angegriffen wird. Und SSL ist kein Schutz vor Angriffen auf die Applikation.

 

Gruß, Nils

[daabm 1.431]

$ldappass = 'password';  // entsprechendes password

Da bin ich raus, ohne den Rest des Threads gelesen zu haben... Klartextkennwörter in Skripten :cry: :jau: :cry:

[haiflosse 10]

Hallo!

Danke für die Antworten.

 

Wir haben uns nun für eine Intranetlösung entschieden und wollte nochmals fragen, ob mir jemand helfen kann wie man dies mit php lösen könnte die Daten von einem AD für einen Login zu lösen.

 

Danke nochmals

[testperson 1.860]

http://php.net/manual/en/book.ldap.php

[NilsK 3.046]

Moin,

 

eine vernünftige Intranetlösung hat fertige Funktionen für sowas, die nach aktuellen Sicherheitsrichtlinien aufgebaut sind. Sowas baut man als Hobbyist nicht selbst. Das ist doch genau das, was wir hier die ganze Zeit predigen.

 

Gruß, Nils