Webinterface für Benutzerverwaltung

[mwiederkehr 351]

Hallo zusammen

 

Setzt jemand eine webbasierte Lösung für die Benutzerverwaltung im Active Directory ein?

 

Folgendes Szenario: eine Webanwendung verwendet AD-Benutzer und -Gruppen, bietet aber keine Möglichkeit zu deren Verwaltung an. Beim klassischen Einsatz bei einem Kunden erstellt man von Hand die Benutzer, fügt sie Gruppen hinzu und gibt in der Anwendung dann den Gruppen Berechtigungen auf Projekte.

 

Nun soll die Anwendung gehostet werden für verschiedene Kunden. Die Kunden sollen ihre Benutzer selbst verwalten können, wenn möglich über ein Webinterface.

 

Idealerweise werden die Benutzer und Gruppen jedes Kunden in einer separaten OU abgelegt. Der Kunde kann natürlich nur diese verwalten, also nicht einen Benutzer zu den Domänen-Admins hinzufügen etc.

 

Eingefallen ist mir SolidCP, dessen Vorgänger WebsitePanel wir für Exchange und SharePoint einsetzen. Aber das ist ein ziemlicher Overhead nur für die Benutzervewaltung. phpLDAPadmin ist zu kompliziert für Endkunden und soweit ich gesehen habe kann es keine Mandanten verwalten. Die Lösungen, die ich mit Google gefunden habe, sind entweder Kundenportale für das Zurücksetzen des Passworts oder komplette Identity Management Systeme.

 

Kennt ihr eine einfachere Lösung? Idealerweise .NET, aber wenns sein muss geht auch PHP. Es darf selbstverständlich etwas kosten. Da aber nicht sehr viele Benutzer verwaltet werden, erachte ich um die 1000 Euro für die Lizenz als Schmerzgrenze.

 

Vielen Dank für eure Tipps!

[zahni 521]

Schau Dir mal diesen Anbieter:

 

https://www.manageengine.com/products.html

[NilsK 2.781]

Moin,

 

bei solchen Mandantenlösungen rate ich dazu, ausreichend zu analysieren und zu planen. Da das AD von selbst nicht mandantenfähig ist (in dem Sinne, dass die Mandanten tatsächlich voneinander getrennt sind, also Kunde A nichts von Kunde B wissen darf), bedeutet das erheblichen Aufwand oder völlig andere Lösungen. Mit Standardwerkzeugen kommt man da fast nie weiter.

 

Gruß, Nils

[Doso 77]

Lizenzierung für diese Mandatenfähig bezgl. AD habt ihr geklärt, oder?

[mwiederkehr 351]

Vielen Dank für eure Antworten!

 

ManageEngine könnte das sicher, aber für "OU-based management" benötigt man die Professional-Version, welche dann wohl zu teuer ist.

 

Nils hat natürlich recht, das AD ist nicht die präferierte Variante für eine solche Authentifizierung. Zumal es eine Webanwendung ist, bei der die Benutzer auf dem System gar keine Rechte haben müssen. Nur leider ist das AD aktuell die einzige unterstützte Authentifizierung. Als die Anwendung entwickelt wurde, war Hosting wohl noch kein Thema und intern wäre AD ja nicht schlecht.

 

Zum Glück dürfen die Kunden voneinander wissen. Es geht um eine Software zur Verwaltung von Baugesuchen. Da auf jeder Gemeinde nur ein bis zwei Personen damit arbeiten, haben sich mehrere Gemeinden zusammengeschlossen für die Beschaffung. Man weiss also, wer damit arbeitet.

 

Die Lizenzierung ist geklärt. Es bedurfte eines speziellen Lizenzabkommens, da mehrere Kunden mit der gleichen Lizenz arbeiten. Gab einen besseren Preis, weil der Hersteller so nicht für jede Gemeinde offerieren und verkaufen muss. Windows ist per SPLA lizenziert.

 

Ich werde sonst nächste Woche mal SolidCP auf einem Testsystem installieren und schauen, ob es die Anforderungen erfüllt.

[mwiederkehr 351]

Mittlerweile habe ich SolidCP getestet: es ist leider nicht geeignet für diesen Zweck, da es zu sehr auf normales Hosting ausgerichtet ist. Es werden nur Gruppen angezeigt, die über SolidCP erstellt wurden (und somit in der SQL-Datenbank vorhanden sind), Gruppen haben ein Suffix etc. Es ist zwar Open Source, aber da wäre ich ein paar Tage dahinter um das umzuschreiben.

 

Deshalb haben wir es jetzt direkt im AD mit den gewöhnlichen Verwaltungstools gelöst. Die Benutzer starten über RDP die AD-Verwaltungskonsole.

 

Die Rechte im AD anzupassen war etwas mühsam, wobei ich sagen muss dass die neuen Menüs seit Server 2012 ein echter Fortschritt sind. Es liess sich alles über Vererbung lösen, ohne Scripts, die jedes Objekt angefasst haben.

 

Die Struktur im AD sieht so aus:

Domain - OU=WebUsers, dann pro Gemeinde eine OU.

 

Folgende Berechtigungen mussten angepasst werden:

- Ebene Domäne: "Authentifizierte Benutzer", "nur dieses Objekt", "Inhalt auflisten" entfernen

- Ebene OU=WebUsers: "Authentifizierte Benutzer", "nur dieses Objekt", "Inhalt auflisten" entfernen

- Ebene OU=WebUsers: "Authentifizierte Benutzer", "dieses und alle untergeordneten Objekte", "Inhalt auflisten" und "Objekt auflisten" entfernen

- Ebene OU=WebUsers: "Application Pool-Benutzer, "untergeordnete Benutzer-Objekte", "Gruppenmitgliedschaft lesen" erlauben => wichtig, sonst sieht die Anwendung nicht mehr, wer in welcher Gruppe ist!

- Ebene Gemeinde-OU: "Gemeinde-Admins", "nur dieses Objekt", "Lesen" erlauben

- Ebene Gemeinde-OU: "Gemeinde-Admins", "dieses und alle untergeordneten Objekte", "Benutzer-Objekte erstellen" und "Benutzer-Objekte löschen" erlauben

- Ebene Gemeinde-OU: "Gemeinde-Admins", "Untergeordnete Benutzer-Objekte", "Vollzugriff" erlauben

 

Funktioniert ganz gut, die Gemeinde-Admins können nur in ihre OU navigieren, alles andere ist ausgeblendet. Dort können sie dann nur Benutzer erstellen. "Neue Gruppe" etc. erscheint nicht mal im Kontextmenü, gibt also nicht erst beim Klick einen Fehler. Sie können die Kennwörter setzen, Anzeigenamen anpassen und eben die Gruppenmitgliedschaft verwalten. Dort sehen sie nur ihre Gruppen, können also nicht einen Benutzer zum Domänen-Admin machen.

 

Ist natürlich unschön, eine Webanwendung über RDP zu verwalten, aber funktionieren tut es.