Jump to content

Bestehendes AD (oder alternativ LDAP) zur Authentifizierung in eigener Domäne nutzen


Recommended Posts

Hi und guten Morgen liebes Forum :-)
Nach einem Arbeitgeberwechsel hab ich gleich eine kleine Aufgabe bekommen, die mir leider etwas Kopfzerbrechen macht:

Hier in dieser Firma (>2000MA) gibt es mehrere, eigenständig agierende Abteilungen mit eigenen EDV'lern. Die IT hat sich nach einem Crash auf die Grundversorgung (Netz, Mail, rudimentärer Fileservice) beschränkt kann in den Abteilungen nicht unterstützen. Bzw. wenn Abteilungen sich in die Hand der zentralen IT geben, sind die Systeme sehr eingeschränkt, und der Support. An dieser Situation wird sich in den nächsten Jahren leider nichts ändern.

 

Jedenfalls hält die IT in einem LDAP und einem AD sämtliche Mitarbeiter-Accounts vor. Diese beiden Verzeichnisse kann ich abfragen und mittels Plugins in z.B. Wordpress oder Nextcloud verwenden, um eine Authentifizierung durchzuführen und eigene User anzulegen.

Das Ziel:

 

Ich möchte unsere Windows-Clients (~600) nicht unter die Verwaltung der zentralen IT stellen, sondern selbst verwalten (Virenscanner, Softwareverteilung, Updates usw.). Auch werden hier zukünftig Datenmengen anfallen, für die mir die zentrale IT nicht genug Speicher bereit stellen kann. Daher werden wir eigene Systeme anschaffen (welcher Art steht eben noch nicht fest, weil die Lösung des Problems noch nicht klar ist), um Abteilungs-interne Ressourcen bereit stellen zu können. Hier soll die zentrale IT keine Berechtigung haben (der letzte Crash hat ziemlich viele Systeme erwischt, da entsprechende administrative UserAccounts auf sämtlichen Systemen Berechtigung hatten). Gerne möchten wir aber die aus dem zentralen System kommenden User-Accounts bei uns berechtigen, damit wir mit bekommen, wenn ein User nicht mehr angestellt und somit sein Account deaktiviert ist, und er auch an zentraler Stelle nur einmal sein Kennwort ändern muss (sonst wäre es einfach, eigenes AD, eigene UserAccounts und fertig - dadurch aber einiges an Pflege der User was ich uns gerne von der Backe halten würde).

 

Wie kann ich dies mit einem eigenen Active-Directory bewerkstelligen? Gibt es eine "best practise" für solch eine Konstellation?

 

Ich hab bereits einiges zur Vertrauensstellung von zwei Forests gelesen und mir auch eine Test-Umgebung aufgebaut. eine Domäne "grundversorgung.intern" und eine "meineabteilung.intern" . In dieser Konstellation habe ich eine einseitige Vertrauensstellung aufgebaut (die IT möchte nicht, dass wir auf deren Systemen in irgendeiner Art Zugriff bekommen - oder ist das vielleicht vollkommen egal, da wir ja sowieso nur Benutzer aus deren AD benutzen?) und wir möchten eben nicht, dass ein evtl. kompromitierter Ober-Admin-Account aus der IT Zugriff auf all unsere Systeme hat. 

 

Was hier funktioniert: 

Ich kann mich an PCs von "meineabteilung.intern" mit Accounts aus "grundversorgung.intern" anmelden. Ich kann auch Freigaben in "meineabteilung" für Accounts aus "grundversorgung" definieren. 

Was leider nicht funktioniert:
Ich kann in meiner Domäne "meineabteilung" keine Gruppen definieren mit Mitgliedern aus "grundversorgung". Das wäre aber notwendig, da es bei der Menge an Benutzern unmöglich ist, alles einzeln zu machen.

 

Daher meine Fragen:

Bin ich auf dem Holzweg mit der Forest-Vertrauensstellung?

Gibt es ein Plugin oder Stück Software, welches, ähnlich der oben genannten Plugins für WP oder NC eine Passwort-Abfrage gegen ein externes System (AD und LDAP verfügbar) macht, dann aber eigene User-Accounts verwendet?

Oder habt ihr ähnliche Konstellationen ganz anders gelöst?

 

Das Problem ist (wie bei vielen anderen hier im Forum auch) politischer Natur, an der ich allerdings nichts ändern kann ;-) 

 

In der Hoffnung auf ideenreichen Input,
Gruß CaIvin :-)
 

Edited by CaIvin
Link to post

Moin,

 

ganz abwegig ist dein Vorhaben nicht. Wenn es aber ordentlich, handhabbar und sicher funktionieren soll, braucht das ein gerüttelt Maß an Planung und an Kooperation. Ich empfehle, für die Konzeption erfahrene Unterstützung hinzuzuziehen. Wenn man sowas mit "mal gucken" aufbaut, geht es meist in die Hose.

 

vor 7 Minuten schrieb CaIvin:

Ich kann leider in "meineabteilung" keine Gruppen definieren mit Mitgliedern aus "grundversorgung".

Dafür sind Domain Local Groups da. Das meine ich mit Konzeption - Berechtigungssysteme sind in so einem Konstrukt etwas spezieller.

 

Gruß, Nils

 

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...