killing_chiller Geschrieben 5. Mai 2009 Geschrieben 5. Mai 2009 HAllo leute ich suche ne lösung. Wie kann man per crontab unter linux durch LDAP das AD vom Win2003 fragen Also das Problem besteht darin das ich eine Win2k3-Domäne habe mit AD(Active Directory) und die Benutzer haben nen Wiki(das was auch Wikipedia benutz) so jetz möchten sich diese dort anmelden. Sprich das soll geschütz werden vor fremden zugriff. Achso das Wiki liegt auf nem Suse Webserver (natürlich Apache). Das soll aber mit den Daten ausm AD geschehen. Ich hätte jetze die Idee das gesamt mit .htaccess zumachen und die Daten per Crontab und LDAP aus dem AD zuziehen Damit der Admin nicht immer beides ändern muss Aussderm is mir wichtig ob das so funzen würde. Zitieren
flashpixx Geschrieben 5. Mai 2009 Geschrieben 5. Mai 2009 Du kannst mit auth_ldap direkt aus der htaccess einen LDAP abfragen bzw dagegen authentifizieren (siehe Apache Doku) Phil Zitieren
killing_chiller Geschrieben 5. Mai 2009 Autor Geschrieben 5. Mai 2009 ---EDITED----- Hallo Leudde, ich möchte per Crontab und LDAP unter Suse die Benutzer Daten aus Win 2k3 AD(Active Directory) holen. So jetz das warum? Ehm ich will nen Wiki absichern das auf dem Apache des Suse liegt. Das soll man nicht als unbefugter sehen können. Deshalb würde ich als ersten Schritt das AD mit LDAP auslesen und alle Benutzer Daten in eine Datei schreiben damit ich diese für das Wiki weiter verwenden kann. Wie ich das im Endefekt mach weis ich noch nicht. Aber vielleicht jmd von eich nen Tipp, weil er so was schon gemacht hat oder sich mit so was bschäfitgt hat. Danke Killing_Chiller ---EDITED----- Zitieren
killing_chiller Geschrieben 5. Mai 2009 Autor Geschrieben 5. Mai 2009 Du kannst mit auth_ldap direkt aus der htaccess einen LDAP abfragen bzw dagegen authentifizieren (siehe Apache Doku) Phil ich will nicht was aus der htaccess lesen ich brauch das zeug vom windows 2k3 server?! Zitieren
flashpixx Geschrieben 5. Mai 2009 Geschrieben 5. Mai 2009 (bearbeitet) Deshalb würde ich als ersten Schritt das AD mit LDAP auslesen und alle Benutzer Daten in eine Datei schreiben damit ich diese für das Wiki weiter verwenden kann. Warum das ganze als Datei sein soll, ist mir nicht klar (vor warum Du das fast identische Post noch einmal einfügst, ist mit auch nicht klar). Wenn htaccess, siehe mod_auth_ldap - Apache HTTP Server Wenn direkt aus dem Wiki, nimm ein fertiges Plugin bzw schreibe es Dir selbst. PHP unterstützt direkt den Zugriff auf LDAP PHP: LDAP - Manual (analog Perl Homepage - Perl-LDAP) Ergänzung: Du solltest niemals 2 Datenstämme haben, denn Du wirst hier Probleme mit der Konsistenz der Daten haben. Du möchtest aus dem Wiki heraus authentifizieren, gegen die AD. Die AD ist ein LDAP, somit kannst Du direkt die genannten Mechanismen nutzen Phil Bearbeitet 5. Mai 2009 von flashpixx Ergänzung Zitieren
killing_chiller Geschrieben 5. Mai 2009 Autor Geschrieben 5. Mai 2009 heisst das ich kann dem wiki sagen schaue mal nach den userdaten auf dem win2k3 server? weil ja das ad eine ldap is? Zitieren
flashpixx Geschrieben 5. Mai 2009 Geschrieben 5. Mai 2009 Du hättest Google einmal selbst bemühen können: Extension:LDAP Authentication - MediaWiki Phil Zitieren
killing_chiller Geschrieben 6. Mai 2009 Autor Geschrieben 6. Mai 2009 das funzt auch über php oder wie sehe ich das? also ich würde denn ne seite vor dem wiki plazieren?? oder das gensamt für die htaccess machen... Zitieren
DevilDawn Geschrieben 6. Mai 2009 Geschrieben 6. Mai 2009 Ergänzung: Du solltest niemals 2 Datenstämme haben, denn Du wirst hier Probleme mit der Konsistenz der Daten haben. Hinweis: Der TE wollte keine 2 Datenstämme, sondern ein Replica eines Datenstammes. Was grundsätzlich etwas positives ist, denn der betroffene Dienst funtkioniert weiter auch wenn der echte Datenstamm defekt/nicht erreichbar/gepfändet/abgeschaltet ist. Zitieren
flashpixx Geschrieben 6. Mai 2009 Geschrieben 6. Mai 2009 (bearbeitet) Der TE wollte keine 2 Datenstämme, sondern ein Replica eines Datenstammes. Was grundsätzlich etwas positives ist, denn der betroffene Dienst funtkioniert weiter auch wenn der echte Datenstamm defekt/nicht erreichbar/gepfändet/abgeschaltet ist. Dann würde man aber hier das AD replizieren und nicht nur den LDAP Baum auslesen. In diesem Fall wäre aber das Posting dann falsch, denn der OP möchte authentifizieren: so jetz möchten sich diese dort anmelden. Sprich das soll geschütz werden vor fremden zugriff. Achso das Wiki liegt auf nem Suse Webserver (natürlich Apache). Das soll aber mit den Daten ausm AD geschehen. Eine Datei ist kein Fallback zu einem Dienst! Ich hätte jetze die Idee das gesamt mit .htaccess zumachen und die Daten per Crontab und LDAP aus dem AD zuziehen Wenn Replikation würde man ja wohl eher auf einen Windowsserver setzen, der direkt als BDC eingerichtet wird und automatisiert den Dienst bei Bedarf übernimmt. Hier geht es um eine Authentifizierung, vor allem Cron gesteuert, d.h. ändere ich meine Daten in der AD, so ist noch lange nicht sichergestellt, dass diese Daten auch zur Autentifizierung aktuell sind. Im schlimmsten Fall habe, ich immer einen Zyklusverzug. Authentifizieren direkt gegen das AD per LDAP oder auch Kerberos (Replikation Windows BDC einrichten). @killing_chiller: Die Authentifizierung läuft direkt gegen das AD. Im Wiki liegen dann nicht mehr die Passwörter (analog wie es jeder Win PC gegen das AD macht) Phil Bearbeitet 6. Mai 2009 von flashpixx Zitieren
killing_chiller Geschrieben 6. Mai 2009 Autor Geschrieben 6. Mai 2009 stopp! ich möchte auch das man das wiki sich nicht anschauen kann ohne das man sich authentifiziert -------- ich denke das reicht dann wenn ich das per -htaccess oder ist das besser mit nem kleinem interface über php also ne seite davor zu machen? Zitieren
flashpixx Geschrieben 6. Mai 2009 Geschrieben 6. Mai 2009 (bearbeitet) ich möchte auch das man das wiki sich nicht anschauen kann ohne das man sich authentifiziert Authentifizierung über Plugin im Wiki möglich gegen AD ich denke das reicht dann wenn ich das per -htaccess htaccess mit mod_auth_ldap gegen AD oder ist das besser mit nem kleinem interface über php also ne seite davor zu machen? Warum so etwas, wenn Du per htaccess und LDAP direkt authentifizieren kannst. Halte ich für nicht sinnvoll, denn ich kann den Link zu der Wikistartseite dann direkt manuell im Browser aufrufen und umgehe das Login, deshalb gibt es ja htaccess Phil Bearbeitet 6. Mai 2009 von flashpixx Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.