LDAP/ActiveDirectory Authentication

Ideen und Vorschläge sind willkommen.

LDAP/ActiveDirectory Authentication

Beitragvon Orbiter » So Nov 18, 2012 10:45 pm

- kennt sich jemand damit aus?
- Gibts eine einfache mini-Version eines LDAP-Auth Servers den wir benutzen könnten (zum Testen bzw. als Bestandteil)
Orbiter
 
Beiträge: 5787
Registriert: Di Jun 26, 2007 10:58 pm
Wohnort: Frankfurt am Main

Re: LDAP/ActiveDirectory Authentication

Beitragvon Low012 » Mo Nov 19, 2012 9:33 am

Auskennen ist übertrieben. Ich musste mal in grauer Vorzeit Daten in einem Microsoft-LDAP-Server abladen, ab er das war es dann auch schon. LDAP finde ich aber interessant und würde mich damit gern mal auseinandersetzen, wenn ich mal Zeit habe... :lol:
Low012
 
Beiträge: 2214
Registriert: Mi Jun 27, 2007 12:11 pm

Re: LDAP/ActiveDirectory Authentication

Beitragvon Orbiter » Mo Nov 19, 2012 1:50 pm

das wäre super! Wir werden ja so oft gefragt ob wir sowas wie Suchaccounts haben. Die müssen ja dann mit denen von bestimmten Usern, die schon Accounts woanders haben übereinstimmen! Da wäre ActiveDirectory wahrscheinlich die richtige Lösung, auch wenn das MS ist... ... aber da sind die User..
Orbiter
 
Beiträge: 5787
Registriert: Di Jun 26, 2007 10:58 pm
Wohnort: Frankfurt am Main

Re: LDAP/ActiveDirectory Authentication

Beitragvon Low012 » Mo Nov 19, 2012 4:26 pm

Habe mich eben mal ein bisschen von unserem Admin aufschlauen lassen. Ich glaube, als ersten Schritt werde ich mir wirklich mal einen eigenen Auth-Server aufsetzen müssen.
Low012
 
Beiträge: 2214
Registriert: Mi Jun 27, 2007 12:11 pm

Re: LDAP/ActiveDirectory Authentication

Beitragvon Lotus » Mo Nov 19, 2012 5:55 pm

Ich glaube bei Suse Linux gab es eine tolle GUI-Oberfläche für sowas. Kann aber auch sein, dass das nur für die Client-Konfiguration ist.
Lotus
 
Beiträge: 1699
Registriert: Mi Jun 27, 2007 3:33 pm
Wohnort: Hamburg

Re: LDAP/ActiveDirectory Authentication

Beitragvon Low012 » Mo Nov 19, 2012 9:01 pm

Ich habe jetzt eine virtuelle Maschine aufgesetzt (Debian) und OpenLDAP. Wenn man dann so gar keine Ahnung hat, kommt man da abends so nebenbei beim Fernsehen nicht besonders weit...

Eine tolle Oberfläche könnte ich also gut gebrauchen! ;)
Low012
 
Beiträge: 2214
Registriert: Mi Jun 27, 2007 12:11 pm

Re: LDAP/ActiveDirectory Authentication

Beitragvon Low012 » Di Nov 20, 2012 7:53 pm

Von Microsoft gibt es auch was (ADAM), das ich in einer Windows XP-VM installiert habe:

Low012
 
Beiträge: 2214
Registriert: Mi Jun 27, 2007 12:11 pm

Re: LDAP/ActiveDirectory Authentication

Beitragvon Low012 » Fr Nov 23, 2012 9:42 am

Ich habe mir jetzt mal das hier bestellt: http://entwickler-press.de/ep/psecom,id,2,buchid,124,p,0,_language,de.html

Dann muss ich mir nicht jede Information einzeln zusammensuchen und es besteht Hoffnung, dass ich dieses Jahr noch irgendwann Code produzieren kann. Bild
Low012
 
Beiträge: 2214
Registriert: Mi Jun 27, 2007 12:11 pm

Re: LDAP/ActiveDirectory Authentication

Beitragvon Orbiter » Fr Nov 23, 2012 12:39 pm

ui super!

Ich habe gestern im fdroid repository auch eine LDAP Sync App gefunden. Wir brauchen ja keinen Sync aber die App muss sich ja auch authentifizieren, insofern müsste das ja eine Beispielimplementation liefern. Hierzu habe ich folgende Klasse gefunden: https://github.com/weisserd/LDAP-Sync/b ... cator.java
Orbiter
 
Beiträge: 5787
Registriert: Di Jun 26, 2007 10:58 pm
Wohnort: Frankfurt am Main

Re: LDAP/ActiveDirectory Authentication

Beitragvon Low012 » Di Jan 01, 2013 8:08 pm

Ich bin übrigens noch dran, aber es geht nur sehr langsam voran (Familie und so).

Soll LDAP dann die interne Nutzerverwaltung komplett ersetzen, es ergänzen oder Admin intern und sonstige Nutzer über LDAP oder wie?
Low012
 
Beiträge: 2214
Registriert: Mi Jun 27, 2007 12:11 pm

Re: LDAP/ActiveDirectory Authentication

Beitragvon Orbiter » Mi Jan 02, 2013 9:22 pm

Low012 hat geschrieben:Ich bin übrigens noch dran, aber es geht nur sehr langsam voran

oh super!

Low012 hat geschrieben:Soll LDAP dann die interne Nutzerverwaltung komplett ersetzen, es ergänzen oder Admin intern und sonstige Nutzer über LDAP oder wie?

nein kein Ersatz. Die Idee geht so:
- ich vermute dass in LDAP drin steht, auf welchen Pfaden der User lesend zugreifen darf. Diese Info brauchen wir.
- Bei einer Suche muss sich der User authentifizieren, oder ggf. nach einer Suche optional authentifizieren mit dem Hinweis 'damit er alles sehen kann'
- bei der Ermittlung der Suchergebnisliste wird ein Filter benutzt, der aufgrund der im Account hinterlegten Pfade auf alles einschränkt, was der User sehen darf.

Das ist also eine gar nicht komplizierte Sache, nur ein weiterer Suchfilter der aufgrund der LDAP-Accountdaten konfiguriert wird.
Kannst du bestätigen dass in LDAP so eine Liste der erlaubten Pfade drin steht?
Orbiter
 
Beiträge: 5787
Registriert: Di Jun 26, 2007 10:58 pm
Wohnort: Frankfurt am Main

Re: LDAP/ActiveDirectory Authentication

Beitragvon Low012 » Do Jan 03, 2013 10:57 am

Orbiter hat geschrieben:Kannst du bestätigen dass in LDAP so eine Liste der erlaubten Pfade drin steht?

Ich habe eben mit unserem Admin gesprochen (und ich hoffe,dass ich alles richtig verstanden habe) und der meinte, dass im ActiveDirectory lediglich steht, dass ein Benutzer bestimmten Gruppen zugeordnet ist. Will der Benutzer nun z.B. auf einem File-Server auf eine Datei zugreifen, wird mittels ACL entschieden, ob er das darf. Im ActiveDirectory könnte es also die Person "Otto Mustermann" geben, der in der Gruppe "Entwickler" ist. Auf dem Fileserver gibt es dann das Verzeichnis "Projekte", auf das alle aus der Gruppe "Entwickler" zugreifen dürfen.

Das Dateisystem weiß also, welche Gruppe zugreifen darf und das ActiveDirectory, ob ein bestimmter Benutzer zu einer Gruppe gehört oder nicht.

Eine Möglichkeit, abzufragen, auf welche Dateien der Nutzer "Otto Mustermann" zugreifen darf, gibt es nicht. Man müsste, wenn man eine Liste von Dateien hat, über die Liste iterieren und jeweils prüfen, ob er zugreifen darf oder nicht, was natürlich einige Zeit dauern kann. :-(
Low012
 
Beiträge: 2214
Registriert: Mi Jun 27, 2007 12:11 pm

Re: LDAP/ActiveDirectory Authentication

Beitragvon Vega » Di Jan 08, 2013 10:29 pm

Hm, ich bin hier etwas anderer Meinung wie Michael, also ich sehe es so/hätte es gern so:

- es sollte weiterhin eine einfach gestrickte interne Nutzerverwaltung geben, zumindest einen "hart" verdrahteten/gecodeten Admin. Wenn wir aber in YaCy Ldap auslesen können, sollten wir bei Bedarf auch alle anderen User aus dem LDAP Directory kommen.
- Sollte es in YaCy einen integrierten LDAP Server geben, sollte dieser auch die Benutzerverwaltung übernehmen können, die Benutzer in diesem Angelegt/verwaltet werden können - bis auf einen admin User der intern ist (und damit immer funktioniert).
Ldap Software für Java - http://directory.apache.org/ - und ein Beispiel: http://stackoverflow.com/questions/1560230/running-apache-ds-embedded-in-my-application

Gruß,
Thomas

Low012 hat geschrieben:Soll LDAP dann die interne Nutzerverwaltung komplett ersetzen, es ergänzen oder Admin intern und sonstige Nutzer über LDAP oder wie?
Vega
 
Beiträge: 824
Registriert: Mi Jun 27, 2007 3:34 pm
Wohnort: Dresden

Re: LDAP/ActiveDirectory Authentication

Beitragvon Orbiter » Mo Jan 14, 2013 3:37 am

Vega hat geschrieben:- es sollte weiterhin eine einfach gestrickte interne Nutzerverwaltung geben, zumindest einen "hart" verdrahteten/gecodeten Admin. Wenn wir aber in YaCy Ldap auslesen können, sollten wir bei Bedarf auch alle anderen User aus dem LDAP Directory kommen.

Also an der YaCy-internen Benutzerverwaltung für den Zugriff auf das YaCy Admin-Interface soll sich nichts ändern. Die Rechte in LDAP könnte auch gar nicht anständig die YaCy Rechte abbilden.

Vega hat geschrieben:- Sollte es in YaCy einen integrierten LDAP Server geben, sollte dieser auch die Benutzerverwaltung übernehmen können, die Benutzer in diesem Angelegt/verwaltet werden können - bis auf einen admin User der intern ist (und damit immer funktioniert).
Ldap Software für Java - http://directory.apache.org/ - und ein Beispiel: http://stackoverflow.com/questions/1560230/running-apache-ds-embedded-in-my-application

von einem in YaCy integrierten LDAP Server war nicht die Rede -- es geht hier nur darum für das Suchinterface eine externe Rechtevergabe verstehen zu können, nicht diese Rechtevergabe für andere LDAP Clients in YaCy einzubauen.

Low012 hat geschrieben:Soll LDAP dann die interne Nutzerverwaltung komplett ersetzen, es ergänzen oder Admin intern und sonstige Nutzer über LDAP oder wie?

ein externer LDAP sollte nur 'verstanden' werden können. Einen LDAP in YaCy einzubauen wäre ein wenig zu viel Overhead. Der externe LDAP soll auch nicht die Admin-Authentifizierung in YaCy ersetzen. Es geht nur darum dass man einen externen LDAP verstehen kann um bestimmten Usern nur bestimmte Suchergebnisse anzuzeigen zu denen diese User auch Zugangsrechte haben.
Orbiter
 
Beiträge: 5787
Registriert: Di Jun 26, 2007 10:58 pm
Wohnort: Frankfurt am Main


Zurück zu Wunschliste

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron