ouliff
Goto Top

LDAP einrichten

Hallo,

ich soll eine Schulung vorbereiten die u.a. LDAP-Authentifizierung beinhaltet. Dazu hätte ich noch ein Verständnisproblem.

Und zwar habe ich auf einem W2k3-Server eine AD eingerichtet. Wenn ich jetzt mit LDAP arbeite, wie muss ich das konfigurieren?
Reicht es, wenn ich in der Domäne eine/mehrere OUs erstelle und darin dann noch weiter die Gruppen, User einteile, oder muss ich noch etwas anderes machen?

Über ein paar Tips wäre ich dankbar. ;)

Gruß
Anja

Content-Key: 100290

Url: https://administrator.de/contentid/100290

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: spacyfreak
spacyfreak 26.10.2008 um 22:08:31 Uhr
Goto Top
Active Directory arbeitet hauptsächlich mit der Kerberos Authentisierung (früher NtLM, z. B. bei NT4 Domänen), bietet jedoch auch eine LDAP Schnittstelle.

Via LDAP kann man das AD abfragen, z. B. "zeige mir alle User die Mitglied der Gruppe Domänen-Benutzer sind".
Da würde das Attribut "member" abgefragt ("Mitglied").
Oder die Abfrage "zeige in welchen Gruppen der User Mueller Mitglied ist" - dann würde man das Attribut "memberOf" ´des Users Müller abfragen. ("Mitglied von..")

Via LDAP kann man User auch authentisieren, ´z. B. User Mayer soll auf Server X zugreifen dürfen. Dazu gibt Mayer sein Benutzername / Passwort irgendwo ein, der Server macht eine LDAP Abfrage, d.h. sendet Username u. Passwort zum Active Directory und wenn das Passwort stimmt darf User Mayer zugreifen.

Bei den Abfragen muss man eine bestimmte Synthax, Schreibweise einhalten.

Was du nun genau vorbereiten sollst weiss ich freilich nciht, da frägst am besten den der dir die Aufgabe übertragen hat.
Lad dir mal den kostenlosen LDAP Browser runter, damit kannst du das AD via LDAP abfragen...
Mitglied: ouliff
ouliff 27.10.2008 um 08:51:38 Uhr
Goto Top
Hallo spacyfreak,

erst einmal danke für deine Antwort.

Das mit dem fragen, der mir die Aufgabe übertragen hat, wird schwierig, da er auch nicht weiß, wie das ganze funktioniert. Ich soll das dann dem ganzen Team mitteilen. Da ich noch am meisten mit ADs zu tun habe, wurde mir die Aufgabe übertragen, das ganze in einer Schulung zusammenzufassen.

Ich arbeite in einer großen Netzwerkfirma. Einige unserer Geräte unterstützen AD, LDAP und Radius-Authentifizierung. Ich will nur mit einem Gerät erklären, wie man LDAP am Server und auf unserem Gerät einrichtet. Mehr will ich nicht machen.

Hab ich das so richtig verstanden?
Ich erstelle meine AD mit mehreren OUs z.B. Chef, Marketing, Personalabteilung, ... In dieser OU sind dann verschiedene Gruppen und User.
Und das wars dann schon?

Gruß
Anja
Mitglied: spacyfreak
spacyfreak 28.10.2008 um 07:13:07 Uhr
Goto Top
LDAP kann halt nicht nur authentisieren (also Benutzername / Passwort) abfragen, sondern beliebige Attribute abfragen aus dem Active Directory.
Ja vielleicht machts Sinn irgendein Gerät zu nehmen das LDAP fähig ist und eine Authentisierung zu "demonstrieren".
Oder mit dem LDAP Browser das AD abzufragen und die Attribute und ihre Werte anzuzeigen, z. B. die Attribute eines Benutzers.

Für Radius brauchst einen Radiusserver z. B. IAS. Ein Endgerät z. B. Access Point kommuniziert via Radiusprotokoll mit dem IAS, und der IAS macht via LDAP eine Abfrage ans Active Directory, so könnte z. B. ein WLAN User authentisiert werden, und autorisiert werden, z. B. ist der User in der AD-Gruppe "WLAN User" dann darf er zugreifen.

Oder

Ist der User in der OU "Marketing" und in der Gruppe "WLAN User", dann kann er sich für 802.1X authentisieren und kommt automatisch ins VLAN "Marketing" und ähnliche tolle Spielchen.

Zu beachten ist dass LDAP Abfragen grundsätzlich unverschlüsselt sind, ausser man benutzt LDAPS, was aber wiederum ein Zertifikat auf dem Server notwendig macht.
Schonmal gegoogelt um mehr über lDAP zu erfahren?
Mitglied: ouliff
ouliff 28.10.2008 um 08:47:36 Uhr
Goto Top
Das mit dem Gerät werd ich auf jeden Fall machen. Nur so lernt man nämlich.
Mir gehts dann nur darum, dass die LDAP-Authentifizierung am Gerät eingetragen wird und man dann sich mit diesem User authentifizieren kann.

Meine Finger sind schon wund vom googeln. ;)
Da mir noch nicht ganz klar war, wie ich das am Server einrichten muss, hatte ich mich hier angemeldet. Aber jetzt weiß ich das und kann die Unterlagen fertig vorbereiten.
Danke auf jeden Fall für deine Hilfe.