Syncronisierung von AD Accounts zu einem anderen LDAP

[w2000 10]

Hallo,

 

kennt jemand ein Tool/Bordmittel wie ich AD Accounts (inkl. Anmeldepasswörter) vom AD in ein anderes LDAP (z.B. OpenLDAP) syncronisiere? Wenn möglich auch über PowerShell. Leider bin ich im Netz nicht fündig geworden bzw. die Artikel handelten immer nur von der Anbindung des AD LDAP am eine Drittsoftware zur Authentifizierung. Mir geht es aber expliziet darum vom AD aus die Daten in die anderen LDAP Systeme zu syncen.

[testperson 1.860]

Hi,

 

was hast du denn am Ende vor? Warum sollen die Daten aus dem AD in z.B. OpenLDAP? Reicht es nicht aus, dass du das AD per LDAP abfragen kannst?

 

Gruß

Jan

[w2000 10]

ich möchte nicht das Systeme den AD befragen sprich z.B. von der DMZ ins interne Netz greifen sondern das nur vom AD (intern) Informationen in die DMZ auf den LDAP Server geschoben bzw. gesynct werden.

[NorbertFe 2.283]

Na toll. Das Risiko ist dann aber nur geringfügig geringer. Denn die Accountdaten sind ja quasi identisch. Aber das was du willst geht afaik nur mittels entsprechender Werkzeuge wie bspw. den MIM.

[w2000 10]

es geht zwar auch um die Accounts Norbert aber der Hintergedanke war mehr der geregelte Zugriff auf den AD Server. Der AD Server sollte nicht mit unnützen Anfragen von aussen in die Knie gezogen werden daher der Extra LDAP Server in der DMZ. Wenn der Down ist kann intern noch gearbeitet werden. MIM hatte ich auch schon mal überflogen. Schaue ich mir aber nochmal im Detail an.

[NorbertFe 2.283]

Wer oder was soll denn auf das System in der dmz zugreifen. Sprich, was genau wird da authentifiziert?

[w2000 10]

es soll dort eine Authentifizierung an einem Proxy statt finden. Die Auth Daten sollen dann aus dem LDAP sprich AD kommen.

bearbeitet 7. November 2018 von w2000

[NorbertFe 2.283]

Forward oder reverse proxy? Also aus welcher Richtung kommen die User die sich dort anmelden sollen?

[magheinz 111]

Nur als beispiel wie wir das machen:

Wir haben zwei openLDAP-Server in der DMZ als proxy gegen das AD im internen Netz laufen. Nur diese Server kommen aus der DMZ auf die LDAP-ports. Der user mit dem die zugreifen hat Nur leserechte.

Deinen Wunsch könnte man mit LDIFDE als AD-export lösen. Das in einem script in regelmässigen Abständen laufen lassen und die Ausgabedatei in die DMZ kopieren. Dort könnte man dann mit ldapadd, ldapmodify etc das ganze importieren. Vermutlich muss man noch etwas Hirnschmalz reinstecken und die LDIF-Datei anpassen.

 

 

Der proxy ist einfacher.

 

[w2000 10]

@Norbert Reverse Proxy. Die Leute greifen vom Internet aus ins System.

 

@Magheinz danke für den Vorschlag. Klingt auch nicht schlecht bzw. wie ihr es umsetzt ist auch schon mal viel besser als wenn jeder Server den LDAP Server befragen darf.

[testperson 1.860]

Und auf was wird da zugegriffen? Evtl. wäre ADFS intern (und WAP o.ä. in der DMZ) etwas.

[magheinz 111]

Je nach Anwendung. Die Mailserver suchen sich die gültigen E-Mail Empfänger, andere versuchen einen simplen Login und wieder andere suchen noch die gruppenzugehörigkeiten. 

Somit können die DMZ-Dienste gegen die AD Authentifizierung ohne das die komplette AD im Internet oder der DMZ verfügbar ist. 

[NorbertFe 2.283]

Ist die AD eigentlich die Schwester von die NDS? ;)

[tesso 384]

Die Frage kommt mir bekannt vor.

Die Diskussion hatten wir doch schon mehrfach von Leuten aus Österreich oder der Schweiz. War es nicht eine Schulsoftware die in der DMZ laufen soll, aber gegen das AD authentifzieren?

Ist es evtl. das gleiche Problem?

[NorbertFe 2.283]

Wäre das dann eigentlich ein Fall von Proxy-Use hinsichtlich der Windows CALs?