Jump to content
w2000

Syncronisierung von AD Accounts zu einem anderen LDAP

Empfohlene Beiträge

Hallo,

 

kennt jemand ein Tool/Bordmittel wie ich AD Accounts (inkl. Anmeldepasswörter) vom AD in ein anderes LDAP (z.B. OpenLDAP) syncronisiere? Wenn möglich auch über PowerShell. Leider bin ich im Netz nicht fündig geworden bzw. die Artikel handelten immer nur von der Anbindung des AD LDAP am eine Drittsoftware zur Authentifizierung. Mir geht es aber expliziet darum vom AD aus die Daten in die anderen LDAP Systeme zu syncen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

ich möchte nicht das Systeme den AD befragen sprich z.B. von der DMZ ins interne Netz greifen sondern das nur vom AD (intern) Informationen in die DMZ auf den LDAP Server geschoben bzw. gesynct werden.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Na toll. Das Risiko ist dann aber nur geringfügig geringer. Denn die Accountdaten sind ja quasi identisch. Aber das was du willst geht afaik nur mittels entsprechender Werkzeuge wie bspw. den MIM.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

es geht zwar auch um die Accounts Norbert aber der Hintergedanke war mehr der geregelte Zugriff auf den AD Server. Der AD Server sollte nicht mit unnützen Anfragen von aussen in die Knie gezogen werden daher der Extra LDAP Server in der DMZ. Wenn der Down ist kann intern noch gearbeitet werden. MIM hatte ich auch schon mal überflogen. Schaue ich mir aber nochmal im Detail an.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

es soll dort eine Authentifizierung an einem Proxy statt finden. Die Auth Daten sollen dann aus dem LDAP sprich AD kommen.

bearbeitet von w2000

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nur als beispiel wie wir das machen:

Wir haben zwei openLDAP-Server in der DMZ als proxy gegen das AD im internen Netz laufen. Nur diese Server kommen aus der DMZ auf die LDAP-ports. Der user mit dem die zugreifen hat Nur leserechte.

Deinen Wunsch könnte man mit LDIFDE als AD-export lösen. Das in einem script in regelmässigen Abständen laufen lassen und die Ausgabedatei in die DMZ kopieren. Dort könnte man dann mit ldapadd, ldapmodify etc das ganze importieren. Vermutlich muss man noch etwas Hirnschmalz reinstecken und die LDIF-Datei anpassen.

 

 

Der proxy ist einfacher.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

@Norbert Reverse Proxy. Die Leute greifen vom Internet aus ins System.

 

@Magheinz danke für den Vorschlag. Klingt auch nicht schlecht bzw. wie ihr es umsetzt ist auch schon mal viel besser als wenn jeder Server den LDAP Server befragen darf.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Je nach Anwendung. Die Mailserver suchen sich die gültigen E-Mail Empfänger, andere versuchen einen simplen Login und wieder andere suchen noch die gruppenzugehörigkeiten. 

Somit können die DMZ-Dienste gegen die AD Authentifizierung ohne das die komplette AD im Internet oder der DMZ verfügbar ist. 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Die Frage kommt mir bekannt vor.

Die Diskussion hatten wir doch schon mehrfach von Leuten aus Österreich oder der Schweiz. War es nicht eine Schulsoftware die in der DMZ laufen soll, aber gegen das AD authentifzieren?

Ist es evtl. das gleiche Problem?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×