Jump to content

LDAP Zugangsdaten für LDAP Authentication


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

dein bzw. einer deiner Windows Server 2012 R2 stellt aber schon die Active Directory Domänen Dienste bereit?

 

ja.

Bei der LDAP Authentifizierung bei PHP benötige ich folgende Daten:

 

$ldaprdn  = 'uname';     // ldap rdn oder dn

$ldappass = 'password';  // entsprechendes password

// verbinden zum ldap server

$ldapconn = ldap_connect("ldap.example.com")

 

uname und Password nehme ich an, dass ich da meine Adminzugänge verwenden kann.

Wo finde ich aber den Namen des ldap Servers, so dass er auch von extern erreichbar ist.

 

Danke nochmals

Link zu diesem Kommentar

Moin,

 

eine Anwendung, die über das Internet zugänglich gemacht wird, steht augenblicklich unter Beschuss. Es ist sehr wahrscheinlich, dass Hacker (solche von der "automatisierten" Sorte) sie angreifen und damit erfolgreich sind, wenn man nicht umfassende Maßnahmen dagegen ergreift. Zu solchen Maßnahmen gehört eine strikte Netzwerktrennung. Eine vom Internet erreichbare Anwendung darf nicht direkt auf ein internes AD zugreifen, in dem "normale" produktive Anmeldedaten gespeichert sind. Wer den Webserver mit der Anwendung gekapert hat, hat sonst direkten Durchgriff auf das AD - insbesondere wenn der PHP-Code die Anmeldedaten auch noch auf dem Silbertablett serviert.

 

Für Anwendungen, die aus dem Internet erreichbar sein, aber trotzdem eine AD-Anmeldung unterstützen sollen, gibt es andere Techniken wie SAML oder OAuth. Aber auch solche Anwendungen müssen mit modernen Sicherheitstechniken entwickelt und durch eine leistungsfähige Infrastruktur geschützt werden, alles andere wäre grob fahrlässig.

 

Selbst wenn es sich nur um eine interne Anwendung handelt, ist der genannte Beispielcode für die LDAP-Anmeldung eben nur ein Beispiel und entspricht nicht heutigen Sicherheitsanforderungen. Auf keinen Fall verwendet man für sowas administrative Zugänge.

 

Gruß, Nils

Link zu diesem Kommentar

Ich kann mich Nils nur anschließen. Wenn du an der Stelle schon Probleme hast, solltest du sowas auf keinen Fall ins Internet hängen. Das kann nur schiefgehen. Welche Art Anwendung ist das überhaupt?

Hallo Nils!

Vielen Dank für die ausführliche Erklärung.

 

Gibt es dann eine Möglichkeit die Logindaten inkl. Passwort in eine Datei zu exportieren bzw. einer mysql Datenbank zur Verfügung zu stellen, so dass ich dann die Zugangsdaten verwenden kann.

 

Danke nochmals

Das verlagert das Problem doch nur "geringfügig" von einer unsicheren Art aufs AD zuzugreifen auf eine "unsichere" MySQL DB mit unsicherem Sync-Mechanismus. Das wurde dir aber im anderen Thread auch schon mitgeteilt afair.

 

Bye

Norbert

Link zu diesem Kommentar

Es handelt sich um einen Schulserver und ich möchte eine weitere Anwendung (php/mysql), worüber sich die Schüler anmelden können und ich dann Testergebnisse, Noten, Kursanmeldungen u.s.w. zur Verfügung stellen möchte.

 

Was wäre dann noch eine gute Alternative.

 

Danke nochmals

bearbeitet von haiflosse
Link zu diesem Kommentar

Moin,

 

als Vater schulpflichtiger Kinder sage ich es mal so: Ich erwarte, dass die Schule alles tut, um die persönlichen Daten meiner Kinder (und aller anderen) zu schützen, insbesondere weil ich hier faktisch gezwungen bin, der Speicherung solcher Daten zuzustimmen - der gesamte Schulbetrieb geht anscheinend nicht mehr ohne. Zu diesem Schutz gehört, dass nur Software eingesetzt wird, die nach aktuellem Stand der Entwicklung erarbeitet und professionell gewartet wird.

 

Dass die interne Betreuung eines solchen Systems meist nicht von professionellen Kräften übernommen, sondern von Lehrern "nebenbei" gemacht wird, ist für mich schon sehr schwer zu akzeptieren. Gänzlich inakzeptabel wäre es aber, wenn Amateure Software entwickeln oder manipulieren, die auf solche sensiblen Daten zugreift oder - noch schlimmer - sie von außen zugänglich macht. Das wird auch dadurch nicht besser, dass es - wie ich in deinem Fall unterstelle - in bester Absicht geschieht.

 

Die Alternative wäre also, den Hersteller der Schulsoftware nach einer Funktionserweiterung zu fragen. Damit besteht immer noch keine Gewähr, dass das in ausreichender Qualität geschieht, aber eine Firma hat wenigstens ein wirtschaftliches Interesse daran, keine Datenschutzprobleme zu verursachen.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...