Jump to content

Bestehendes AD (oder alternativ LDAP) zur Authentifizierung in eigener Domäne nutzen

CaIvin

Von CaIvin
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

CaIvin Experienced

CaIvin   10

Geschrieben
Geschrieben (bearbeitet)

Hi und guten Morgen liebes Forum :-)
Nach einem Arbeitgeberwechsel hab ich gleich eine kleine Aufgabe bekommen, die mir leider etwas Kopfzerbrechen macht:

Hier in dieser Firma (>2000MA) gibt es mehrere, eigenständig agierende Abteilungen mit eigenen EDV'lern. Die IT hat sich nach einem Crash auf die Grundversorgung (Netz, Mail, rudimentärer Fileservice) beschränkt kann in den Abteilungen nicht unterstützen. Bzw. wenn Abteilungen sich in die Hand der zentralen IT geben, sind die Systeme sehr eingeschränkt, und der Support. An dieser Situation wird sich in den nächsten Jahren leider nichts ändern.

 

Jedenfalls hält die IT in einem LDAP und einem AD sämtliche Mitarbeiter-Accounts vor. Diese beiden Verzeichnisse kann ich abfragen und mittels Plugins in z.B. Wordpress oder Nextcloud verwenden, um eine Authentifizierung durchzuführen und eigene User anzulegen.

Das Ziel:

 

Ich möchte unsere Windows-Clients (~600) nicht unter die Verwaltung der zentralen IT stellen, sondern selbst verwalten (Virenscanner, Softwareverteilung, Updates usw.). Auch werden hier zukünftig Datenmengen anfallen, für die mir die zentrale IT nicht genug Speicher bereit stellen kann. Daher werden wir eigene Systeme anschaffen (welcher Art steht eben noch nicht fest, weil die Lösung des Problems noch nicht klar ist), um Abteilungs-interne Ressourcen bereit stellen zu können. Hier soll die zentrale IT keine Berechtigung haben (der letzte Crash hat ziemlich viele Systeme erwischt, da entsprechende administrative UserAccounts auf sämtlichen Systemen Berechtigung hatten). Gerne möchten wir aber die aus dem zentralen System kommenden User-Accounts bei uns berechtigen, damit wir mit bekommen, wenn ein User nicht mehr angestellt und somit sein Account deaktiviert ist, und er auch an zentraler Stelle nur einmal sein Kennwort ändern muss (sonst wäre es einfach, eigenes AD, eigene UserAccounts und fertig - dadurch aber einiges an Pflege der User was ich uns gerne von der Backe halten würde).

 

Wie kann ich dies mit einem eigenen Active-Directory bewerkstelligen? Gibt es eine "best practise" für solch eine Konstellation?

 

Ich hab bereits einiges zur Vertrauensstellung von zwei Forests gelesen und mir auch eine Test-Umgebung aufgebaut. eine Domäne "grundversorgung.intern" und eine "meineabteilung.intern" . In dieser Konstellation habe ich eine einseitige Vertrauensstellung aufgebaut (die IT möchte nicht, dass wir auf deren Systemen in irgendeiner Art Zugriff bekommen - oder ist das vielleicht vollkommen egal, da wir ja sowieso nur Benutzer aus deren AD benutzen?) und wir möchten eben nicht, dass ein evtl. kompromitierter Ober-Admin-Account aus der IT Zugriff auf all unsere Systeme hat. 

 

Was hier funktioniert: 

Ich kann mich an PCs von "meineabteilung.intern" mit Accounts aus "grundversorgung.intern" anmelden. Ich kann auch Freigaben in "meineabteilung" für Accounts aus "grundversorgung" definieren. 

Was leider nicht funktioniert:
Ich kann in meiner Domäne "meineabteilung" keine Gruppen definieren mit Mitgliedern aus "grundversorgung". Das wäre aber notwendig, da es bei der Menge an Benutzern unmöglich ist, alles einzeln zu machen.

 

Daher meine Fragen:

Bin ich auf dem Holzweg mit der Forest-Vertrauensstellung?

Gibt es ein Plugin oder Stück Software, welches, ähnlich der oben genannten Plugins für WP oder NC eine Passwort-Abfrage gegen ein externes System (AD und LDAP verfügbar) macht, dann aber eigene User-Accounts verwendet?

Oder habt ihr ähnliche Konstellationen ganz anders gelöst?

 

Das Problem ist (wie bei vielen anderen hier im Forum auch) politischer Natur, an der ich allerdings nichts ändern kann ;-) 

 

In der Hoffnung auf ideenreichen Input,
Gruß CaIvin :-)
 

bearbeitet von CaIvin
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.777

Geschrieben
Geschrieben

Moin,

 

ganz abwegig ist dein Vorhaben nicht. Wenn es aber ordentlich, handhabbar und sicher funktionieren soll, braucht das ein gerüttelt Maß an Planung und an Kooperation. Ich empfehle, für die Konzeption erfahrene Unterstützung hinzuzuziehen. Wenn man sowas mit "mal gucken" aufbaut, geht es meist in die Hose.

 

vor 7 Minuten schrieb CaIvin:

Ich kann leider in "meineabteilung" keine Gruppen definieren mit Mitgliedern aus "grundversorgung".

Dafür sind Domain Local Groups da. Das meine ich mit Konzeption - Berechtigungssysteme sind in so einem Konstrukt etwas spezieller.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...