4
AD-Infos auslesen und in MySQL integrieren
Hallo zusammen
ist es möglich mit einem Programm oder mit etwas anderem die AD unseres Domaincontrollers auszulesen und in eine MySQL zu kopieren und so den Benutzern es zu ermöglichen sich an dieser DB anzumelden mit den gleichen KW und Benutzerdaten?
Gruß Jörg
P.S.: Booaaa ganz schön langer Satz oben
ist es möglich mit einem Programm oder mit etwas anderem die AD unseres Domaincontrollers auszulesen und in eine MySQL zu kopieren und so den Benutzern es zu ermöglichen sich an dieser DB anzumelden mit den gleichen KW und Benutzerdaten?
Gruß Jörg
P.S.: Booaaa ganz schön langer Satz oben
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 21301
Url: https://administrator.de/contentid/21301
Printed on: April 20, 2024 at 00:04 o'clock
4 Comments
Latest comment
Sorry, aber ich verstehe nicht was Du vor hast.
Willst Du das ActiveDirectory mittels MySQL abbilden oder meinst Du nur, dass die MySQL-DB auf die Benutzerdatenbank des ADS zurückgreift?
Gruss,
Thomas
Willst Du das ActiveDirectory mittels MySQL abbilden oder meinst Du nur, dass die MySQL-DB auf die Benutzerdatenbank des ADS zurückgreift?
Gruss,
Thomas
Ich möchte die User der AD in die MySQL integrieren um damit den Usern die Möglichkeit zu geben sich in unserem Intranet, sich mit ihren gewohnten PW anzumelden.
Hmm, Jörg,
das Auslesen von Attributen ist technisch zwar nicht so schwierig, inhaltlich bei Deinen Anforderungen allerdings schon, so eine Single-Sign-On-Mimik auf AD aufzusetzen.
Die Hauptprobleme sind doch, dass AD zwar schon prinzipiell auch eine User- und User-Rechte-Verwaltung abbildet, aber Du hast nicht die Möglichkeit, weitere Rollen und Gruppenzugehörigkeiten zu definieren. Kannst also im AD nicht hinterlegen, dass Benutzer Heinz User-Rechte auf die SQL-DB Vertrieb hat, Fritz zusätzlich Stammdaten in dieser DB pflegen darf und Klaus der DB-Admin ist.
Somit kannst Du zwar User-ID, Name, Vorname aus dem AD exportieren, aber natürlich ohne (Klartext-) Passwort. Und Du kannst nicht sinnvoll nur alle künftigen MySQL-Berechtigten exportieren/auslesen, weil Du die gar nicht identifizieren kannst.
Wenn es eine Vereinfachung bedeutet, dass dann auf MySQl-Seite eine mit der AD-User-ID identische User-ID als Authentifizierung reicht und deshalb dieser Aufwand Sinn macht *achselzuck* ... ich sehe aber wenig Chancen für eine sinnvolle Datenübernahme, geschweige denn eine Chance zur programmatischen Synchronhaltung. Selbst wenn Du die Hürde noch überwinden würdest, dass in MySQL das gleiche Passwort wie in AD gilt (wie willst Du das denn knacken???), was machst Du denn, wenn der User im AD sein Passwort ändert?
Vielleicht habe ich ja Deinen Plan auch falsch verstanden - welche Attribute welcher Benutzergruppe würdest Du denn von AD abfragen und wann (einmalige Abfrage aller User-IDs oder jeweils Existenzprüfung einer User-ID bei Anmeldung an die Datenbank)?
Grüße Biber
das Auslesen von Attributen ist technisch zwar nicht so schwierig, inhaltlich bei Deinen Anforderungen allerdings schon, so eine Single-Sign-On-Mimik auf AD aufzusetzen.
Die Hauptprobleme sind doch, dass AD zwar schon prinzipiell auch eine User- und User-Rechte-Verwaltung abbildet, aber Du hast nicht die Möglichkeit, weitere Rollen und Gruppenzugehörigkeiten zu definieren. Kannst also im AD nicht hinterlegen, dass Benutzer Heinz User-Rechte auf die SQL-DB Vertrieb hat, Fritz zusätzlich Stammdaten in dieser DB pflegen darf und Klaus der DB-Admin ist.
Somit kannst Du zwar User-ID, Name, Vorname aus dem AD exportieren, aber natürlich ohne (Klartext-) Passwort. Und Du kannst nicht sinnvoll nur alle künftigen MySQL-Berechtigten exportieren/auslesen, weil Du die gar nicht identifizieren kannst.
Wenn es eine Vereinfachung bedeutet, dass dann auf MySQl-Seite eine mit der AD-User-ID identische User-ID als Authentifizierung reicht und deshalb dieser Aufwand Sinn macht *achselzuck* ... ich sehe aber wenig Chancen für eine sinnvolle Datenübernahme, geschweige denn eine Chance zur programmatischen Synchronhaltung. Selbst wenn Du die Hürde noch überwinden würdest, dass in MySQL das gleiche Passwort wie in AD gilt (wie willst Du das denn knacken???), was machst Du denn, wenn der User im AD sein Passwort ändert?
Vielleicht habe ich ja Deinen Plan auch falsch verstanden - welche Attribute welcher Benutzergruppe würdest Du denn von AD abfragen und wann (einmalige Abfrage aller User-IDs oder jeweils Existenzprüfung einer User-ID bei Anmeldung an die Datenbank)?
Grüße Biber
hi
du kannst das mit LDAP Abfragen machen geeignete Queries zu formulieren und die Ergebnisse in eine MYsql DB abzulegen.
Mehr aber nicht, keine an dem AD vorbei durchgeführten Authentifizierungen.
cu
du kannst das mit LDAP Abfragen machen geeignete Queries zu formulieren und die Ergebnisse in eine MYsql DB abzulegen.
Mehr aber nicht, keine an dem AD vorbei durchgeführten Authentifizierungen.
cu
