LunX Guru
Joined: 18 May 2004 Posts: 391 Location: Rastede
|
Posted: Mon Jan 05, 2009 3:19 pm Post subject: Synchronisation zwischen ldap und Active Directory möglich? |
|
|
Hallo,
ich habe bei mir auf der Arbeit einen Jabber Server der sich Benutzer- & Gruppen Informationen aus dem Active Directory holt und stellt Authentifizierung an den Active Directory. Bisher war das alles kein Problem jedoch muss ich ihn nun für unsere anderen Büros ebenfalls zur Verfügung stellen und da nicht alle über ein VPN mit uns verbunden sind führt kein Weg daran vorbei den kompletten Server frei ins Netz zu lassen. Mein Problem ist nun aber das unsere Gruppenrichtlinie besagt das ein Benutzer nach einer gewissen Anzahl falsch eingegebener Passwörter gesperrt wird. Ich möchte aber nicht das alle Benutzerkonten einfach über das Internet gesperrt werden können in dem ein Dritter sich einfach versucht anzumelden. Um die Passwörter geht es mir nicht denn es sind doch nur normale Benutzer und wenn ich einen extra Authentifizierungsdienst bereit stelle wird man dort die selben Passwörter benutzen. Jedoch sehe ich ein Problem darin das sollte der Jabber Server mal gehackt werden man Zugriff auf das Active Directory erlangen könnte.
Zusammengefasst stehe ich vor dem Problem das meine Benutzer von außen durch jeden gesperrt werden können und das ein gehackter Server eine Tür zum Active Directory aufreist.
Nun habe ich zwei Möglichkeiten (wobei ich für andere Möglichkeiten offen bin). Die erste Überlegung war einen openldap einzurichten und dieses mit dem Active Directory zu synchronisieren. Wobei hier natürlich nur vom AD auf ldap aktualisiert werden sollte. Ist überhaupt eine solche Synchronisation zwischen dem Active Directory und openLDAP möglich? Oder ratet ihr davon ab? Wichtig ist natürlich das keine Anfragen an das AD gehen sondern der Status eines gesperrten Benutzers auf dem ldap überschrieben wird.
Die andere möglichkeit die ich sehe ist es den Jabber Server einfach komplett über MySql zu betreiben und dann leider eine doppelte Benutzerführung zu benutzen.
Evtl. hat aber ein von euch klugen Köpfen hier eine Lösung oder andere Idee über die ich natürlich sehr dankbar wäre.
regards,
Lunx |
|