Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Abfragen ans AD eines Kunden über das Internet

Mitglied: ChrFriedel

ChrFriedel (Level 1) - Jetzt verbinden

01.10.2014 um 15:32 Uhr, 1601 Aufrufe, 6 Kommentare

Hallo Administratoren,

ich hätte heute mal ein paar Anfängerfragen zum Thema AD.

Hintergrund:

Wir haben eine Intranet-Anwendung in ASP.NET entwickelt. Bisher melden die User sich in dieser Anwendung mit ihrer Windows-ID und ihrem Passwort an, das AD wird gefragt ob die Daten korrekt sind und der Zugriff wird gewährt. Im weiteren Verlauf werden noch einige zusätzliche Dinge abgefragt (DisplayName, Email usw.) und die Abfragen selbst laufen über LDAP.

Zukunftsmusik

In naher Zukunft soll dem Kunden ein Hosting (Marketingsprech: Cloud) auf einem Windows-Server 2012 R2 angeboten werden was auch soweit kein Problem ist. Der einzige Punkt an dem ich im Moment hänge ist die AD-Thematik und daher meine Fragen:


Welches sind die Best-Practice Ansätze um das AD eines Kunden übers Internet auszulesen? LDAPS? Vertrauenstellungen der Domains ("Forrest") ?

Wie beschere ich dem Kunden möglichst wenige Konfigurationsänderungen seines ADs?

Gibt es Erfahrungen mit Kunden sich weigern ihr AD übers Web erreichbar zu machen ?

Gibt es Dinge die man sonst noch bedenken sollte bei diesem Szenario?


Grüße
ChrFriedel

Mitglied: catachan
01.10.2014 um 15:41 Uhr
Hi

Stichwort SAML mittels ADFS. Vertrauensstellung würde ich ausschliessen.
Generell wird es Kunden geben die ihr AD nicht öffnen wollen. SAML ist daher gut geeignet da man den AD Zugriff filtern kann.

LG
Bitte warten ..
Mitglied: ChrFriedel
01.10.2014 um 16:19 Uhr
Vielen Dank. Das ist vermutlich der Anstoss in die richtige Richtung. Ich habe mir in der kürze der Zeit mal einige Dinge über ADFS und SAML durchgelesen. Jedoch bin ich noch nicht ganz sicher ob das alle meine Anforderungen abdeckt. Dürfte ich dich daher eventuell noch mit einigen Folgefragen belasten?

Wenn ich das richtige verstanden habe würde der Browser des User nach dem Aufruf meiner Intranetanwendung vorerst den ADFS-Server kontaktieren und von diesem eine Art Token erhalten. Im Anschluss kontaktiert der Browser meine Anwendung direkt und reicht mir das Token in Form eines Cookies im Browser weiter. Soweit korrekt?

Weil wenn das so stimmt klingt mir das in erster Linie nach einem reinen "Single-Sign-On". Das Token bestätigt mir also das der User korrekt authentifiziert ist aber mehr nicht. Deswegen die direkte und eventuell dumme Frage ist es dann mit diesem Ansatz trotzdem möglich jederzeit zum NT-Accountnamen den Displayname und die Email aus dem AD zu erhalten? Oder würde man dies eher einmalig bei der ersten Abfrage auslesen und anschließend im Token bzw. Cookie finden? Oder habe ich hier einen totalen Denkfehler?

Und außerdem würde mich bei diesem Ansatz noch der Performance-Impact interessieren. Sind dir dazu eventuell Infos bekannt?

Vielen Dank nochmal

Grüße
Bitte warten ..
Mitglied: colinardo
01.10.2014 um 17:21 Uhr
Moin ChrFriedel,
ich würde dazu einen Webservice mit ASP.Net programmieren, der dir die entsprechenden Infos des AD nach Authentifizierung liefert. So öffnet man nicht gleich das ganze AD des Kunden ins Internet sondern begrenzt das ganze auf die Funktionen die der Webservice bereitstellt, also Abfrage von User,E-Mail, etc...

Grüße Uwe
Bitte warten ..
Mitglied: ChrFriedel
01.10.2014 um 17:26 Uhr
Interessanter Ansatz. Dieser, ich nenne es mal AD-Connector, beim Kunden dürfte wenig Aufwand sein, ist natürlich jedoch auch zu entwickeln und upzudaten wenn sich was ändert. Vorteile wäre der würde genau das machen was ich will. Das einzige Problem was ich im Moment sehe ist die Frage ob ich dem ASP-Login-Control von MS beibringen kann statt LDAP eben diesen Connector abzufragen.

Aber das lasse ich mir jetzt gleich nach Feierabend nochmal durch den Kopf gehen!

Danke dir und erstmal schönen Abend noch!
Bitte warten ..
Mitglied: colinardo
01.10.2014, aktualisiert um 17:35 Uhr
Zitat von ChrFriedel:
Das einzige Problem was ich im Moment sehe ist die Frage ob ich dem ASP-Login-Control von MS beibringen kann statt LDAP eben diesen Connector abzufragen.

Das lässt sich doch sicher durch ein eigenes Control ersetzen das den jeweiligen Webservice abfragt.

Danke dir und erstmal schönen Abend noch!
Ebenso
Bitte warten ..
Mitglied: exchange
02.10.2014 um 07:49 Uhr
Hallo,
für deinen Zweck gibt es den Microsoft Active Directory Federation Services (ADFS).

Gruß
Heiko
Bitte warten ..
Ähnliche Inhalte
Windows Server
AD Abfrage und Gruppenzugehörigkeit
gelöst Frage von DerPueWindows Server6 Kommentare

Hallo zusammen Ich melde mich heute mal wieder mit einer Frage an Euch Ich hoffe es kann mir jemand ...

Windows Server
Powershell - Globale AD Abfrage
gelöst Frage von skahle85Windows Server9 Kommentare

Hallo Gemeinde, ich Suche da etwas ganz bestimmtes im AD und habe dazu folgendes gefunden: Der Suchstring ist definitiv ...

Batch & Shell
AD-Abfrage Attribute mittels Batch
gelöst Frage von goodbytesBatch & Shell2 Kommentare

Hallo, mittels dsquery.exe kann ich ja Abfragen an das AD senden. Die folgende Abfrage gibt mir die Standorte aller ...

Windows Netzwerk

Netzwerklaufwerke aus dem AD per hand abfragen

Frage von Tealk144Windows Netzwerk10 Kommentare

Hallo Community, ich habe mich gefragt ob es einen weg gibt die Netzwerklaufwerke, welche im AD vorgegeben sind, per ...

Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 3 StundenHumor (lol)1 Kommentar

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 15 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 16 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 19 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...