4
RADIUS Authentifizierung am entferntem AD
Hallo zusammen,
ich möchte ein Netzwerk über einen RADIUS Server an ein anderes Netzwerk mit einem AD anzubinden. Die beiden Netze sind mit einem VPN Tunnel verbunden.
Im Moment stelle ich mir die Frage, wie ich im RADIUS Netzwerk einem Rechner ein Benutzer oder eine Gruppe vom AD zuweisen soll. In einem Domänennetzwerk wird einfach das AD gefragt, da gibt es aber auch eine permanente Verbindung. Bei einer RADIUS Authentifzierung wird ja eine aktive Anfrage eines Clients durch den RADIUS mit dem AD geprüft. Wenn ich jetzt aber auf einem Client einen Benutzer oder eine Gruppe aus dem entfernten AD hinzufügen möchte, frage ich mich wie das funktionieren soll bzw. ob das überhaupt möglich ist. Über Google konnte ich zu dem Szenario nichts finden.
Ist das überhaupt möglich was ich da vorhabe?
Gruß Christian
ich möchte ein Netzwerk über einen RADIUS Server an ein anderes Netzwerk mit einem AD anzubinden. Die beiden Netze sind mit einem VPN Tunnel verbunden.
Im Moment stelle ich mir die Frage, wie ich im RADIUS Netzwerk einem Rechner ein Benutzer oder eine Gruppe vom AD zuweisen soll. In einem Domänennetzwerk wird einfach das AD gefragt, da gibt es aber auch eine permanente Verbindung. Bei einer RADIUS Authentifzierung wird ja eine aktive Anfrage eines Clients durch den RADIUS mit dem AD geprüft. Wenn ich jetzt aber auf einem Client einen Benutzer oder eine Gruppe aus dem entfernten AD hinzufügen möchte, frage ich mich wie das funktionieren soll bzw. ob das überhaupt möglich ist. Über Google konnte ich zu dem Szenario nichts finden.
Ist das überhaupt möglich was ich da vorhabe?
Gruß Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 356631
Url: https://administrator.de/contentid/356631
Printed on: April 24, 2024 at 13:04 o'clock
4 Comments
Latest comment
Was du suchst nennt sich Domain-/ Forest-Trust.
https://www.msxfaq.de/windows/domaintrust.htm
Einen Radius brauchst du dafür nicht.
https://www.msxfaq.de/windows/domaintrust.htm
Einen Radius brauchst du dafür nicht.
Hallo Specht,
danke für Deine Antwort. Über Domain / Forest-Trust würde das bestimmt funktionieren, ich muss aber an dieser Stelle nochmal Informationen hinzufügen. Das hatte ich in meiner Fragestellung nicht mit angegeben, da diese nur das Grundproblem beinhalten sollte.
Nun etwas ausführlicher...
Bei einem externen Hoster werden verschiedene vApps genutzt, welche alle ein eigenes Netz haben und seperat durch eine Sophos UTM geschützt sind. Auf den vApps liegen jeweils verschiedene Projekte, welche aber durch die gleichen Entwickler betreut werden. Momentan müssen für jede vApp die Nutzer und Gruppen inkl. der Berechtigungen lokal pro vApp eingerichtet werden, was sehr aufwändig ist.Die Hauptfirewall des vApp Clusters hat einen bestehenden VPN Tunnel ins Unternehmensnetzwerk. Die Idee war erst für die Hostingumgebung ein eigenes AD einzurichten, das erfordert aber auch wieder das händische Anlegen und die Pflege von Accounts. Aber der eigentliche Showstopper sind die Portfreigaben die für den Zugriff auf ein AD eingerichtet werden müssen. Da in den vApps auch Webserver stehen, welche von außen erreichbar sind, ist das keine Option für mich gewesen. Dann kam die Idee mit einem RADIUS Server, den man in der Managment vApp installiert und dann nur noch die Clients/Server für den Zugriff konfigurieren muss. In diesem Fall wären dann auch nur 2 Ports zu öffnen und im schlimmsten Fall eines Hacks, wäre nur der RADIUS weg und das AD sicher. Gedacht war es so, das man sich an einem Server in einer vApp anmeldet, der fragt den RADIUS welcher beim AD nachfragt, ob der Benutzer die Berechtigung hat sich dort anzumelden.
So sieht der Hintergrund meiner Frage von oben aus. Falls jetzt noch Informationen fehlen, reiche ich die gern nach.
Gruß Christian
danke für Deine Antwort. Über Domain / Forest-Trust würde das bestimmt funktionieren, ich muss aber an dieser Stelle nochmal Informationen hinzufügen. Das hatte ich in meiner Fragestellung nicht mit angegeben, da diese nur das Grundproblem beinhalten sollte.
Nun etwas ausführlicher...
Bei einem externen Hoster werden verschiedene vApps genutzt, welche alle ein eigenes Netz haben und seperat durch eine Sophos UTM geschützt sind. Auf den vApps liegen jeweils verschiedene Projekte, welche aber durch die gleichen Entwickler betreut werden. Momentan müssen für jede vApp die Nutzer und Gruppen inkl. der Berechtigungen lokal pro vApp eingerichtet werden, was sehr aufwändig ist.Die Hauptfirewall des vApp Clusters hat einen bestehenden VPN Tunnel ins Unternehmensnetzwerk. Die Idee war erst für die Hostingumgebung ein eigenes AD einzurichten, das erfordert aber auch wieder das händische Anlegen und die Pflege von Accounts. Aber der eigentliche Showstopper sind die Portfreigaben die für den Zugriff auf ein AD eingerichtet werden müssen. Da in den vApps auch Webserver stehen, welche von außen erreichbar sind, ist das keine Option für mich gewesen. Dann kam die Idee mit einem RADIUS Server, den man in der Managment vApp installiert und dann nur noch die Clients/Server für den Zugriff konfigurieren muss. In diesem Fall wären dann auch nur 2 Ports zu öffnen und im schlimmsten Fall eines Hacks, wäre nur der RADIUS weg und das AD sicher. Gedacht war es so, das man sich an einem Server in einer vApp anmeldet, der fragt den RADIUS welcher beim AD nachfragt, ob der Benutzer die Berechtigung hat sich dort anzumelden.
So sieht der Hintergrund meiner Frage von oben aus. Falls jetzt noch Informationen fehlen, reiche ich die gern nach.
Gruß Christian
Stichwort RODC bzw. ADFS wären Möglichkeiten..
Das hatte ich gar nicht auf dem Schirm, ich werde mich dahingehend mal genauer belesen. Vielen Dank für den Tip!
Gruß Christian
Gruß Christian
