Jump to content

Active Directory Konto Selbstregistrierung


Recommended Posts

Hallo,

ist es möglich ein Active Directory Benutzerkonto über eine Webseite zu erstellen? Wir möchten den Studenten ermöglichen sich selber ein Konto zu erstellen um öffentliche PCs in einer unserer Bibliotheken nutzen zu können. Die Studenten haben eine ID mit der sie E-Mail... nutzen. Diese ID ist im Kerberos gespeichert. Leider können wir mit den Windows-PCs diese ID nicht als Login nutzen.

Ich stelle mir das so vor das der Student sich über ein Webformular einen Benutzernamen und ein Passwort ausdenkt und dieses dann automatisch auf dem Windows-Server angelegt wird. Gibt es so eine Lösung?

Link to post

Das kann in der Form nur in die Hose gehen. Prinzipiell geht sowas (fertiges Produkt kenne ich nicht). Aber die Idee, dass sich Nutzer ihre eigenen Namen ausdenken ist nicht gut. Ich würde sagen definiert die Anforderungen so gut wie möglich und sucht euch ein systemhaus, welches auch bei der Umsetzung unterstützt.

Link to post

Moin,

 

wenn sie schon authentifizierungsfähige IDs haben, dann legt doch im AD vorn vornherein ein gleichlautendes Konto und lasst sie einfach das Kennwort selber zurücksetzen. Das wiederum könnte man relativ gut und sicher mit einem einfachen Webportal umsetzen, indem man die e-Mail (welche die Studenten ja erfolgreich nutzen) als quasi den berechtigenden Faktor nimmt. Das habe ich vor einem Monat für einen Kunden umgesetzt, es gibt aber auch fertige Produkte dafür.

 

Wenn sich solche Anforderungen häufen, solltet ihr euch über geregeltes und zentralisiertes IAM Gedanken machen. Als Bildungseinrichtung seid ihr ja für Open Source prädestiniert, daher z.B. https://www.openiam.com/ Da wären übrigens auch solche Self-Service Portal schon enthalten.

 

 

  • Like 1
Link to post

ich verstehe die Anforderung nicht wirklich... ihr habt eine ID die im Kerberos Token gespeichert ist und könnt über diese nicht eine Identifikation bauen?

 

Da gibt es doch mit Sicherheit sinnvolle andere Ideen, als ein Self Service Portal ...

Link to post

Wir haben im Gegensatz zu vielen anderen Unis kein  Active Directory. Jeder Student, Mitarbeiter hat eine ID zum Anmelden an diverse Dienste. In unserer Bibliothek konnten wir uns bisher an den Windows PC mit dieser ID anmelden. Wir haben die Software pGina verwendet. Seit Win10 geht das nicht mehr.

Wie ich es verstanden habe ist die ID ein Benutzeraccount auf einem Unix Kerberos Server. Daher brauchen wir eigene Accounts für die Windows PCs. Wir kennen die Benutzer aber nicht daher müssen wir irgendwie denen einen eigenen Benutzeraccount bei uns geben aber sicherstellen daß es sich um Studenten handelt. Daher die Idee das sich jeder über eine Webseite einen Account erstellen kann aber nur freigeschaltet wird wenn er eine richtige ID und Passwort gibt. Für verschiedene Dienste schaltet die Uni eine Webseite mit Passwort vor. Dafür wird Shibboleth verwendet.

  • Like 1
Link to post

Wer ist denn für das Identity Management bei euch zuständig? Ihr wollt kein Self-Service für ein AD Account!

Es gibt hier verschiedene Möglichkeiten:

- Unix System nutzen. Hier muss geprüft werden, ob dieses evtl. angepasst werden muss oder dies auf Windows Seite aus geschehen kann.

- Unix System mit einem AD Koppeln. Ich meine mit Shibboleth ist sowas auch möglich.

- Unabhängiges AD aufbauen. Hier möchte man aber kein Self-Service, sondern z.B. über einen HR Prozess oder ein IDM die Informationen der Benutzer, so das diese (automatisiert) angelegt werden können.

 

Auf jeden Fall solltet Ihr mit den zuständigen sprechen.

Link to post

Vielen Dank für die Antworten! Ist es also möglich das die Windows Clients nicht direkt an den Kerberos Server können aber das AD mit den Kerberos Unix Server verbinden werden kann? Unser Rechenzentrum hat kein Personal und kann uns da nicht weiterhelfen. Ich muss also eine Lösung suchen und dann um konkret um Hilfe fragen. 

Link to post

Es kommt darauf an, was dieser Kerberos Server ist. Ist das ein Samba (4)? Ist das nur Kerberos?

Kerberos ist für sich nur ein Auth. Dienst. Dahinter braucht es eine (zentrale) Benutzerdatenbank.

Link to post

Moin,

 

Shibboleth ist im Wesentlichen SAML, da geht es um die Anmeldung an Web-Applikationen. Hilft hier nicht.

 

In eurem Fall bräuchtet ihr schon ein AD, wenn die Anmeldung an Windows-Clients einigermaßen sinnvoll vonstatten gehen soll. Bei dem Szenario würde vermutlich ein sehr simpler Import der Anmeldedaten der Studierenden ausreichen, z.B. monatlich, vielleicht auch semesterweise. Dazu würde man von dem Unix-System die Konten z.B. in eine CSV-Datei exportieren (nur die wichtigsten Attribute) und diese dann nutzen, um im AD die Konten anzulegen. Hier scheint es ja nicht um weitergehende Anforderungen zu gehen. 

 

Vorab wäre das juristisch zu klären - dürfen die Daten von der Uni an die Bibliothek weitergegeben werden? (Faktisch wäre das auch bei einem "Self-Service" zu klären, denn ihr dürftet nicht einfach so Benutzerdaten speichern, nur weil jemand auf einer Webseite ein Konto anlegt.)

 

Bliebe also das Einrichten eines AD und des Import-/Export-Vorgangs. Für jemanden, der sich auskennt, in ein, zwei Tagen ausreichend sicher machbar. Ohne Kenntnisse aber ein No-Go, sowohl technisch als auch aus Sicht der Sicherheit.

 

Gruß, Nils

 

  • Like 1
Link to post

Eigentlich nicht! Das Problem ist das nur Mitglieder der Uni über die Uni ins Internet dürfen und auf den Bibliothekscomputern ist Internetzugang und Office.

Habe jetzt dran gedacht einen VPN-Client zu installieren damit könnte ich den Zugang beschränken.

  • Confused 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...