Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Abfragen ans AD eines Kunden über das Internet

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: ChrFriedel

ChrFriedel (Level 1) - Jetzt verbinden

01.10.2014 um 15:32 Uhr, 1463 Aufrufe, 6 Kommentare

Hallo Administratoren,

ich hätte heute mal ein paar Anfängerfragen zum Thema AD.

Hintergrund:

Wir haben eine Intranet-Anwendung in ASP.NET entwickelt. Bisher melden die User sich in dieser Anwendung mit ihrer Windows-ID und ihrem Passwort an, das AD wird gefragt ob die Daten korrekt sind und der Zugriff wird gewährt. Im weiteren Verlauf werden noch einige zusätzliche Dinge abgefragt (DisplayName, Email usw.) und die Abfragen selbst laufen über LDAP.

Zukunftsmusik

In naher Zukunft soll dem Kunden ein Hosting (Marketingsprech: Cloud) auf einem Windows-Server 2012 R2 angeboten werden was auch soweit kein Problem ist. Der einzige Punkt an dem ich im Moment hänge ist die AD-Thematik und daher meine Fragen:


Welches sind die Best-Practice Ansätze um das AD eines Kunden übers Internet auszulesen? LDAPS? Vertrauenstellungen der Domains ("Forrest") ?

Wie beschere ich dem Kunden möglichst wenige Konfigurationsänderungen seines ADs?

Gibt es Erfahrungen mit Kunden sich weigern ihr AD übers Web erreichbar zu machen ?

Gibt es Dinge die man sonst noch bedenken sollte bei diesem Szenario?


Grüße
ChrFriedel

Mitglied: catachan
01.10.2014 um 15:41 Uhr
Hi

Stichwort SAML mittels ADFS. Vertrauensstellung würde ich ausschliessen.
Generell wird es Kunden geben die ihr AD nicht öffnen wollen. SAML ist daher gut geeignet da man den AD Zugriff filtern kann.

LG
Bitte warten ..
Mitglied: ChrFriedel
01.10.2014 um 16:19 Uhr
Vielen Dank. Das ist vermutlich der Anstoss in die richtige Richtung. Ich habe mir in der kürze der Zeit mal einige Dinge über ADFS und SAML durchgelesen. Jedoch bin ich noch nicht ganz sicher ob das alle meine Anforderungen abdeckt. Dürfte ich dich daher eventuell noch mit einigen Folgefragen belasten?

Wenn ich das richtige verstanden habe würde der Browser des User nach dem Aufruf meiner Intranetanwendung vorerst den ADFS-Server kontaktieren und von diesem eine Art Token erhalten. Im Anschluss kontaktiert der Browser meine Anwendung direkt und reicht mir das Token in Form eines Cookies im Browser weiter. Soweit korrekt?

Weil wenn das so stimmt klingt mir das in erster Linie nach einem reinen "Single-Sign-On". Das Token bestätigt mir also das der User korrekt authentifiziert ist aber mehr nicht. Deswegen die direkte und eventuell dumme Frage ist es dann mit diesem Ansatz trotzdem möglich jederzeit zum NT-Accountnamen den Displayname und die Email aus dem AD zu erhalten? Oder würde man dies eher einmalig bei der ersten Abfrage auslesen und anschließend im Token bzw. Cookie finden? Oder habe ich hier einen totalen Denkfehler?

Und außerdem würde mich bei diesem Ansatz noch der Performance-Impact interessieren. Sind dir dazu eventuell Infos bekannt?

Vielen Dank nochmal

Grüße
Bitte warten ..
Mitglied: colinardo
01.10.2014 um 17:21 Uhr
Moin ChrFriedel,
ich würde dazu einen Webservice mit ASP.Net programmieren, der dir die entsprechenden Infos des AD nach Authentifizierung liefert. So öffnet man nicht gleich das ganze AD des Kunden ins Internet sondern begrenzt das ganze auf die Funktionen die der Webservice bereitstellt, also Abfrage von User,E-Mail, etc...

Grüße Uwe
Bitte warten ..
Mitglied: ChrFriedel
01.10.2014 um 17:26 Uhr
Interessanter Ansatz. Dieser, ich nenne es mal AD-Connector, beim Kunden dürfte wenig Aufwand sein, ist natürlich jedoch auch zu entwickeln und upzudaten wenn sich was ändert. Vorteile wäre der würde genau das machen was ich will. Das einzige Problem was ich im Moment sehe ist die Frage ob ich dem ASP-Login-Control von MS beibringen kann statt LDAP eben diesen Connector abzufragen.

Aber das lasse ich mir jetzt gleich nach Feierabend nochmal durch den Kopf gehen!

Danke dir und erstmal schönen Abend noch!
Bitte warten ..
Mitglied: colinardo
01.10.2014, aktualisiert um 17:35 Uhr
Zitat von ChrFriedel:
Das einzige Problem was ich im Moment sehe ist die Frage ob ich dem ASP-Login-Control von MS beibringen kann statt LDAP eben diesen Connector abzufragen.

Das lässt sich doch sicher durch ein eigenes Control ersetzen das den jeweiligen Webservice abfragt.

Danke dir und erstmal schönen Abend noch!
Ebenso
Bitte warten ..
Mitglied: exchange
02.10.2014 um 07:49 Uhr
Hallo,
für deinen Zweck gibt es den Microsoft Active Directory Federation Services (ADFS).

Gruß
Heiko
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Webbrowser
gelöst Firefox 50 downloads stocken ohne Internet Verbindung (2)

Frage von LordXearo zum Thema Webbrowser ...

Windows Server
AD Replikation zwischen untergeordneten Domäne zwingend? (1)

Frage von Gien-app zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...