AD-LDS oder OpenLDAP

[Gast Simon Peters]

Hallo liebe Kollegen,

ich komme nicht weiter und hoffe hier Unterstützung zu finden.

In meiner Umgebung befindet sich ein Active Directory von Microsoft und ist nur im internen Netz sichtbar. Nun kommen ein paar Anwendungen, die aus dem Internet erreichbar sein müssen und in der DMZ stehen. Die Authentifizierung der User soll gegen das AD überprüft werden. Da ich aber ungern das interne AD in der DMZ stellen will habe ich mir einen neuen Server erstellt, der nicht in der Domäne ist, und das AD LDS von Microsoft installiert. Über ein Tutorial die ganzen Einstellungen durchgeführt und einen Test-Benutzer erstellt.

Leider findet meine Anwendung den Benutzer nicht und meldet, dass dieser im AD nicht gefunden wurde. Das AD wird aber gefunden.

 

Kann es so überhaupt funktionieren? 

Ist OpenLDAP vielleicht die einfachere Lösung? (Habe wenig Erfahrung mit OpenLDAP)

Wie würdet ihr das machen?

 

 

Vielen Dank 

Simon Peters

[Crash2001]

Falls im AD LDS alle Sachen drin enthalten sind, die abgefragt / genutzt werden, sollte es damit funktionieren.

Fehlen eventuell noch irgendwelche Freischaltungen (Firewall, AD)?
Wo hast du den Test-User erstellt? Im AD oder im AD LDS? Vor oder nach deinem "Snapshot" und Import des AD ins AD LDS?
Wie sind die Berechtigungen für den User?

AD LDS stellt ja eine Kopie der AD zur Verfügung. Hast du die Instanz also nicht exportiert, nachdem du den User im AD angelegt hast, ist dieser auch nicht enthalten, da afaik nicht automatisch synchronisiert wird, sondern dies per ldifde gemacht wird.

[Gast Simon Peters]

Hallo Crash2001,

vielen Dank für die Antwort.

Also, wenn ich das richtig verstehe ist AD LDS keine eigenständige Software sondern muss mit dem AD synchronisiert werden, richtig?

Den Test-User habe ich im AD LDS  über den ADSI-Editor angelegt. Unter einer OU=Users habe ich den Benutzer CN=Test-User1 erstellt und ein Passwort vergeben.

Das Tutorial hatte kein Import vom AD und um ehrlich zu sein möchte ich nicht meine AD-Daten nicht im LDS haben, da ich ja sonst das AD in der DMZ stellen kann.

Der Server ist in keiner Domäne und auf diesem läuft nur das AD LDS.

 

Also kann ich für mein Vorhaben nicht die Lightversion des AD nutzen?

 

MfG und Danke!

[Crash2001]

Wenn ich die Infos zu AD LDS richtig verstanden habe, dann wird eine Kopie des AD im AD LDS angelegt, bzw. anhand des Tools ldifde die AD abgeglichen. Die AD LDS synchronisiert jedoch NICHT automatisch mit dem AD!
Somit benötigst du auch im AD einen User, der die entsprechenden Berechtigungen für den Zugriff hat, um es überhaupt exportieren zu können. Beim Tool kann man aber auch angeben, welche Felder (?) überhaupt exportiert werden sollen, wenn ich das richtig gesehen habe, so dass nicht alle AD-Daten auch zwingend im AD LDS vorhanden sein müssen, sondern eventuell auch einfach nur die Daten, die du dort benötigst.

Der Unterschied zwischen das AD in die DMZ stellen und die AD LDS in die DMZ stellen ist der, dass die AD LDS nicht in die AD schreibt, da sie unabhängig davon ist und somit deine AD nicht angegriffen werden kann, sondern maximal die AD LDS. Man kann zwar einen Import von der AD in die AD LDS machen, aber ich habe bisher nichts gefunden, dass dies auch andersherum gehen würde (da nicht zwingend alle Felder exportiert werden müssen, könnte das aber auch zu inkonsistenten Daten führen, falls man AD LDS Daten in die AD importieren könnte).

[Gast Simon Peters]

Theoretisch muss dann mein Server in die Domäne, in der mein AD steht, oder müssen die nicht zwingend miteinander kommunizieren?

Ich hatte Testweise einen Export durchgeführt und im AD LDS importiert. Anschließend habe ich versucht mich mit dem jeweiligen Benutzer zu authentifizieren, hat allerdings nicht funktioniert.

[Crash2001]

Kann gut sein, dass wenn der Server nicht in der selben Domain ist, er die User nicht findet, da er quasi nach anderen Usern sucht.
Du könntest mal versuchen, nach dem "distinguished name" (DN) zu suchen (siehe hier)

In einer Domain muss ein Server, der AD LDS zur Verfügung stellt, nicht sein.

Siehe auch Technet zu AD LDS.