8
Active Directory im Netz veröffentlichen für WWW-Autentifizierung?
Ich will meine ASP.NET Webspaces einfach über das Active Directory Verwalten und suche deswegen nach einer Lösung.
Hallo Admins und Kollegen,
Ich habe mir schon sehr viele Gedanken gemacht und jetzt noch mal kurtz und knapp die Fraage: Ich will Active Directory im Netz veröffentlichen. Ich kenne die IP,s aller Clients die drauf zu greifen sollen?
Ich stelle dann in ISA-Server in der Veröffentlichungsregel von Belibig auf ein Array (Satz) mit allen Computern (IP,s) um die drauf zugreifen sollen. Also die Webspace Server.
Wie sieht es dann mit der Sicherheit aus, man kann die Traffic ja abhören oder nicht?? Aber wen dann ne SSL Verschlüßelung hinzu kommt ist das ganze doch Relativ sicher oder nicht?
LG, Herbrich
Ich habe mir schon sehr viele Gedanken gemacht und jetzt noch mal kurtz und knapp die Fraage: Ich will Active Directory im Netz veröffentlichen. Ich kenne die IP,s aller Clients die drauf zu greifen sollen?
Ich stelle dann in ISA-Server in der Veröffentlichungsregel von Belibig auf ein Array (Satz) mit allen Computern (IP,s) um die drauf zugreifen sollen. Also die Webspace Server.
Wie sieht es dann mit der Sicherheit aus, man kann die Traffic ja abhören oder nicht?? Aber wen dann ne SSL Verschlüßelung hinzu kommt ist das ganze doch Relativ sicher oder nicht?
LG, Herbrich
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 195530
Url: https://administrator.de/contentid/195530
Printed on: April 19, 2024 at 03:04 o'clock
8 Comments
Latest comment
Zitat von @Herbrich19:
Hallo Admins und Kollegen,
Ich habe mir schon sehr viele Gedanken gemacht und jetzt noch mal kurtz und knapp die Fraage: Ich will Active Directory im Netz
veröffentlichen. Ich kenne die IP,s aller Clients die drauf zu greifen sollen?
Ich stelle dann in ISA-Server in der Veröffentlichungsregel von Belibig auf ein Array (Satz) mit allen Computern (IP,s) um
die drauf zugreifen sollen. Also die Webspace Server.
Wie sieht es dann mit der Sicherheit aus, man kann die Traffic ja abhören oder nicht?? Aber wen dann ne SSL
Verschlüßelung hinzu kommt ist das ganze doch Relativ sicher oder nicht?
Hallo Admins und Kollegen,
Ich habe mir schon sehr viele Gedanken gemacht und jetzt noch mal kurtz und knapp die Fraage: Ich will Active Directory im Netz
veröffentlichen. Ich kenne die IP,s aller Clients die drauf zu greifen sollen?
Ich stelle dann in ISA-Server in der Veröffentlichungsregel von Belibig auf ein Array (Satz) mit allen Computern (IP,s) um
die drauf zugreifen sollen. Also die Webspace Server.
Wie sieht es dann mit der Sicherheit aus, man kann die Traffic ja abhören oder nicht?? Aber wen dann ne SSL
Verschlüßelung hinzu kommt ist das ganze doch Relativ sicher oder nicht?
Nur dann wenn man mit dem richtigen redet. Wenn Zertifikate nicht ordentlich geprüft werden, werden MITM-Attacken Tür und Tor geöffnet.
Bau lieber ein VPN und kommuniziere darüber.
lks
Hallo,
was verstehst du denn unter "AD im Netz veröffentlichen"? Du schreibst dazu ja noch etwas von "ASP.NET Webspaces über AD verwalten" - wenn du dich gegen den DC authentifizieren kannst, kannst du ja deswegen noch lange nichts verwalten. Und wenn du dich an einer Website mit deinen AD-Credentials anmelden willst, musst du dazu ja noch lange nicht (direkt) auf einen DC zugreifen.
Wichtig im AD-Umfeld sind neben LDAP und Kerberos noch RPC - und das lässt sich ziemlich schlecht veröffentlichen, da es mit dynamischer Portaushandlung arbeitet.
Gruß
Filipp
was verstehst du denn unter "AD im Netz veröffentlichen"? Du schreibst dazu ja noch etwas von "ASP.NET Webspaces über AD verwalten" - wenn du dich gegen den DC authentifizieren kannst, kannst du ja deswegen noch lange nichts verwalten. Und wenn du dich an einer Website mit deinen AD-Credentials anmelden willst, musst du dazu ja noch lange nicht (direkt) auf einen DC zugreifen.
Wichtig im AD-Umfeld sind neben LDAP und Kerberos noch RPC - und das lässt sich ziemlich schlecht veröffentlichen, da es mit dynamischer Portaushandlung arbeitet.
Gruß
Filipp
Hallo,
Es geht nur um die AD-Credentials. Diese werden doch über LDAP -Abfrage geholt oder doch. also cn=herbrich,cn=zentrix,cn=co=cn,=cc; (was dan die URL herbrich.zentrix.co.cc) egeben müsste. So müssen diese Server zumindest eingetragen werden. Ich habe sowas mal in einen LAN gemacht.
Kann man irgendwas am AD machen wen man sich über LDAP Connecten könnte?? Und wie gesagt. Ich kenne die IP,s aller Allowed Clients, und kann diese Explizit Freigeben.
LG, Herbrich
Es geht nur um die AD-Credentials. Diese werden doch über LDAP -Abfrage geholt oder doch. also cn=herbrich,cn=zentrix,cn=co=cn,=cc; (was dan die URL herbrich.zentrix.co.cc) egeben müsste. So müssen diese Server zumindest eingetragen werden. Ich habe sowas mal in einen LAN gemacht.
Kann man irgendwas am AD machen wen man sich über LDAP Connecten könnte?? Und wie gesagt. Ich kenne die IP,s aller Allowed Clients, und kann diese Explizit Freigeben.
LG, Herbrich
Nur dann wenn man mit dem richtigen redet. Wenn Zertifikate nicht ordentlich geprüft werden, werden MITM-Attacken Tür
und Tor geöffnet.
Bau lieber ein VPN und kommuniziere darüber.
lks
Da muss ich mich anschließen. Auf die Gefahr dein AD und dadurch dein Netz zu gefährden wäre ein VPN mit internem Webspace besser.
Risiko ist zwar immer, jedoch über eine gesicherte VPN Verbindung sollte es hier kein Problem geben. Zumal die MITM (Man-in-The-Middle) hier ausgeschlossen werden kann (Vorausgesetzt man macht es richtig)
- Steinigt mich bitte nicht sofern ich falsch liege ^^ -
Gruß
Hasllo
Die werden von der Herbrich Corporation CA-1 CA ausgestellt und werden alle durhc ein 18 Aufen Prinzip (von mehreren Grenieren) Kontrolliert. Deswegen denke ich das SSL Sicher sein dürfte. Und dann noch ne Frage der Encryption.
Auf nen V-Server könnte man ja alle Offiziellen CA,s löschen und nur die eigene Trusten und asp.net alles untrustet blocken lassen.
So dürfte Man in The Middle kein erfolg haben!
Zertifikate
Die werden von der Herbrich Corporation CA-1 CA ausgestellt und werden alle durhc ein 18 Aufen Prinzip (von mehreren Grenieren) Kontrolliert. Deswegen denke ich das SSL Sicher sein dürfte. Und dann noch ne Frage der Encryption.
Auf nen V-Server könnte man ja alle Offiziellen CA,s löschen und nur die eigene Trusten und asp.net alles untrustet blocken lassen.
So dürfte Man in The Middle kein erfolg haben!
Was soll das eigentlich werden wenn es fertig ist???
Hallo,
Es geht einfach nur darum ein Extranet (zugriff auf interne Datenbanken), einzurichten.
Neuster Status:
Ich habe inzwischen den Provider gewechselt. Jetzt habe ich mit ein V-Server bei Webtropia geholt. Und habe auf diesen neben IIS, DNS auch den Routing und Ras Dienst Instaliert. Der soll jetzt auch DC master sein (weil es soll mehrere Standoirte geben, und alle Daten sollen via VPN zugriefar sein).
Da PPT zu unsicher ist habe ich mich dazu endschloßen eine IP-Sec 16k Bit Verschlüßelung einzurichten.
ASP.NET greift dann auf den Lokalen Server zu (127.0.0.1), dieser giebt via Replication die Daten an die einzehlnden Standrte (jeder Standort hat ein eignes IP-Netz) zurück. (Genaugergesagt werden die Daten auch empfangen, weil es ist ja ne Multimaster Replication). Und alles über das VPN.
Die Firewal des V-Servers verbietet alle AD Verbindungen nach außen, und lässt nur DNS, HTTP(S), FTP(S) und die VPN verbindung zu.
So, jetzt ist meine Frage wie sicher der Plan ist. Ich bin frü jede Kritik offen.
LG, Herbrich
PS: Ich war in Urlaub und da konnte / wollte ich nicht auf Administrator.de weil ich abschalten wollte von den kram.
Es geht einfach nur darum ein Extranet (zugriff auf interne Datenbanken), einzurichten.
Neuster Status:
Ich habe inzwischen den Provider gewechselt. Jetzt habe ich mit ein V-Server bei Webtropia geholt. Und habe auf diesen neben IIS, DNS auch den Routing und Ras Dienst Instaliert. Der soll jetzt auch DC master sein (weil es soll mehrere Standoirte geben, und alle Daten sollen via VPN zugriefar sein).
Da PPT zu unsicher ist habe ich mich dazu endschloßen eine IP-Sec 16k Bit Verschlüßelung einzurichten.
ASP.NET greift dann auf den Lokalen Server zu (127.0.0.1), dieser giebt via Replication die Daten an die einzehlnden Standrte (jeder Standort hat ein eignes IP-Netz) zurück. (Genaugergesagt werden die Daten auch empfangen, weil es ist ja ne Multimaster Replication). Und alles über das VPN.
Die Firewal des V-Servers verbietet alle AD Verbindungen nach außen, und lässt nur DNS, HTTP(S), FTP(S) und die VPN verbindung zu.
So, jetzt ist meine Frage wie sicher der Plan ist. Ich bin frü jede Kritik offen.
LG, Herbrich
PS: Ich war in Urlaub und da konnte / wollte ich nicht auf Administrator.de weil ich abschalten wollte von den kram.
