Jump to content
haiflosse

LDAP Zugangsdaten für LDAP Authentication

Empfohlene Beiträge

Danke für die Hinweise.

Werde das ganze beachten.

 

Ich wollte nur fragen, ob es technisch möglich wäre die Daten inkl. Passwort aus dem AD in eine Datei oder in eine Mysql Datenbank zu exportieren.

Würde es vorerst nur für einen Test mit Testdaten benötigen.

 

Danke

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Können kann man. Sieht man ja an Office 365, die sowas anbieten. (nein das sind nicht die Passworte, sondern die Hashes) aber ob man das dann selbst in der Form "anbieten" will oder kann? Kann ich dir leider nicht beantworten.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

wie wir dir in dem anderen Thread schon gesagt haben: Nein, diese Möglichkeit existiert nicht. Das AD speichert die Kennwörter gar nicht, schon daher kann man sie nicht exportieren. Gespeichert werden nur die Hashes, aber auch die kann man nicht ohne weitere Klimmzüge exportieren. Und selbst wenn man es kann, nützen dir die Hashes nichts, weil du sie nicht zur Anmeldung verwenden kannst, ohne das Anmeldesystem von Active Directory zu nutzen.

 

Die einzige Möglichkeit, in mehreren getrennten Systemen dieselben Anmeldedaten für verschiedene Authentifizierungsverfahren zu nutzen, wäre ein getrennter Abgleich, der die "Rohdaten" der Konten aus dem einen System in ein anderes überträgt (das wäre simpel), dann aber die Kennwortvergabe selbst vornimmt und das Kennwort des Anwenders dann in die verschiedenen Benutzerdatenbanken schreibt. Aber bevor du jetzt sowas baust: Das ist eine Infrastruktur, die mit höchstem Sicherheitsniveau gebaut werden muss, weil sie ja nun mal sämtliche Kennwörter steuert. Sowas wie eine Ablage in einer Datenbank ist dann ein No-go, solange man keine wirklich guten Algorithmen für Verschlüsselung und Schutz der Daten implementiert.

 

Und nochmal: Du befindest dich auf einem Holzweg. Die Lösung besteht nicht darin, in deiner Anwendung die AD-Konten zu duplizieren. Sie besteht auch nicht darin, einen direkten Durchgriff von der Internetapplikation auf das interne AD zuzulassen. Wenn überhaupt, käme, wie schon gesagt, so etwas wie SAML oder OAuth in Frage, aber auch das nur mit der passenden Infrastruktur und Programmcode, der nach aktuellem Stand "sicher" entwickelt ist.

 

Um meine bisherigen Hinweise noch mal zu verschärfen: Wir reden hier nicht nur von personenbezogenen Daten, die per se hochgradig schützenswert sind (und für die ein inadäquater Umgang mit empfindlichen Strafen bewehrt ist), sondern sogar von Daten von Schutzbefohlenen. Bitte keine Experimente und kein Gebastel an dieser Stelle, auch wenn es noch so gut gemeint ist.

 

Gruß, Nils

bearbeitet von NilsK
  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo!

Ich nochmals.

 

Wäre es denkbar einen LDAP Zugriff von außen, wenn man SSL über eine Firewall Fortigate und dort nur den Webserver zulässt wo die externe Anwendung liegt.

Danke nochmals

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

nein, wäre es nicht. Wenn deine PHP-Applikation geknackt wird, hat der Angreifer vollen Durchgriff auf die Anmeldedaten aller Anwender. Die Firewall-Beschränkung auf den Webserver bringt exakt überhaupt nichts, weil der Webserver das erste ist, was angegriffen wird. Und SSL ist kein Schutz vor Angriffen auf die Applikation.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

$ldappass = 'password';  // entsprechendes password

Da bin ich raus, ohne den Rest des Threads gelesen zu haben... Klartextkennwörter in Skripten :cry: :jau: :cry:

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo!

Danke für die Antworten.

 

Wir haben uns nun für eine Intranetlösung entschieden und wollte nochmals fragen, ob mir jemand helfen kann wie man dies mit php lösen könnte die Daten von einem AD für einen Login zu lösen.

 

Danke nochmals

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

eine vernünftige Intranetlösung hat fertige Funktionen für sowas, die nach aktuellen Sicherheitsrichtlinien aufgebaut sind. Sowas baut man als Hobbyist nicht selbst. Das ist doch genau das, was wir hier die ganze Zeit predigen.

 

Gruß, Nils

  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×