Wie kann man per crontab unter linux durch LDAP das AD vom Win2003 fragen

[killing_chiller]

HAllo leute

ich suche ne lösung.

Wie kann man per crontab unter linux durch LDAP das AD vom Win2003 fragen

Also das Problem besteht darin das ich eine Win2k3-Domäne habe mit AD(Active Directory) und die Benutzer haben nen Wiki(das was auch Wikipedia benutz)

so jetz möchten sich diese dort anmelden. Sprich das soll geschütz werden vor fremden zugriff.

Achso das Wiki liegt auf nem Suse Webserver (natürlich Apache).

Das soll aber mit den Daten ausm AD geschehen.

Ich hätte jetze die Idee das gesamt mit .htaccess zumachen und die Daten per Crontab und LDAP aus dem AD zuziehen

Damit der Admin nicht immer beides ändern muss

Aussderm is mir wichtig ob das so funzen würde.

[flashpixx]

Du kannst mit auth_ldap direkt aus der htaccess einen LDAP abfragen bzw dagegen authentifizieren (siehe Apache Doku)

Phil

[killing_chiller]

---EDITED-----

Hallo Leudde,

ich möchte per Crontab und LDAP unter Suse die Benutzer Daten aus Win 2k3 AD(Active Directory) holen.

So jetz das warum?

Ehm ich will nen Wiki absichern das auf dem Apache des Suse liegt.

Das soll man nicht als unbefugter sehen können.

Deshalb würde ich als ersten Schritt das AD mit LDAP auslesen und alle Benutzer Daten in eine Datei schreiben damit ich diese für das Wiki weiter verwenden kann.

Wie ich das im Endefekt mach weis ich noch nicht.

Aber vielleicht jmd von eich nen Tipp, weil er so was schon gemacht hat oder sich mit so was bschäfitgt hat.

Danke Killing_Chiller

---EDITED-----

[killing_chiller]

Du kannst mit auth_ldap direkt aus der htaccess einen LDAP abfragen bzw dagegen authentifizieren (siehe Apache Doku)

Phil

ich will nicht was aus der htaccess lesen ich brauch das zeug vom windows 2k3 server?!

[flashpixx]

Deshalb würde ich als ersten Schritt das AD mit LDAP auslesen und alle Benutzer Daten in eine Datei schreiben damit ich diese für das Wiki weiter verwenden kann.

Warum das ganze als Datei sein soll, ist mir nicht klar (vor warum Du das fast identische Post noch einmal einfügst, ist mit auch nicht klar).

Wenn htaccess, siehe mod_auth_ldap - Apache HTTP Server

Wenn direkt aus dem Wiki, nimm ein fertiges Plugin bzw schreibe es Dir selbst. PHP unterstützt direkt den Zugriff auf LDAP PHP: LDAP - Manual (analog Perl Homepage - Perl-LDAP)

Ergänzung: Du solltest niemals 2 Datenstämme haben, denn Du wirst hier Probleme mit der Konsistenz der Daten haben. Du möchtest aus dem Wiki heraus authentifizieren, gegen die AD. Die AD ist ein LDAP, somit kannst Du direkt die genannten Mechanismen nutzen

Phil

Bearbeitet 5. Mai 2009 von flashpixx
Ergänzung

[killing_chiller]

heisst das ich kann dem wiki sagen

schaue mal nach den userdaten auf dem win2k3 server?

weil ja das ad eine ldap is?

[flashpixx]

Du hättest Google einmal selbst bemühen können: Extension:LDAP Authentication - MediaWiki

Phil

[killing_chiller]

das funzt auch über php oder wie sehe ich das?

also ich würde denn ne seite vor dem wiki plazieren??

oder das gensamt für die htaccess machen...

[DevilDawn]

Ergänzung: Du solltest niemals 2 Datenstämme haben, denn Du wirst hier Probleme mit der Konsistenz der Daten haben.

Hinweis: Der TE wollte keine 2 Datenstämme, sondern ein Replica eines Datenstammes. Was grundsätzlich etwas positives ist, denn der betroffene Dienst funtkioniert weiter auch wenn der echte Datenstamm defekt/nicht erreichbar/gepfändet/abgeschaltet ist.

[flashpixx]

Der TE wollte keine 2 Datenstämme, sondern ein Replica eines Datenstammes. Was grundsätzlich etwas positives ist, denn der betroffene Dienst funtkioniert weiter auch wenn der echte Datenstamm defekt/nicht erreichbar/gepfändet/abgeschaltet ist.

Dann würde man aber hier das AD replizieren und nicht nur den LDAP Baum auslesen. In diesem Fall wäre aber das Posting dann falsch, denn der OP möchte authentifizieren:

so jetz möchten sich diese dort anmelden. Sprich das soll geschütz werden vor fremden zugriff.

Achso das Wiki liegt auf nem Suse Webserver (natürlich Apache).

Das soll aber mit den Daten ausm AD geschehen.

Eine Datei ist kein Fallback zu einem Dienst!

Ich hätte jetze die Idee das gesamt mit .htaccess zumachen und die Daten per Crontab und LDAP aus dem AD zuziehen

Wenn Replikation würde man ja wohl eher auf einen Windowsserver setzen, der direkt als BDC eingerichtet wird und automatisiert den Dienst bei Bedarf übernimmt. Hier geht es um eine Authentifizierung, vor allem Cron gesteuert, d.h. ändere ich meine Daten in der AD, so ist noch lange nicht sichergestellt, dass diese Daten auch zur Autentifizierung aktuell sind. Im schlimmsten Fall habe, ich immer einen Zyklusverzug. Authentifizieren direkt gegen das AD per LDAP oder auch Kerberos (Replikation Windows BDC einrichten).

@killing_chiller: Die Authentifizierung läuft direkt gegen das AD. Im Wiki liegen dann nicht mehr die Passwörter (analog wie es jeder Win PC gegen das AD macht)

Phil

Bearbeitet 6. Mai 2009 von flashpixx

[killing_chiller]

stopp!

ich möchte auch das man das wiki sich nicht anschauen kann ohne das man sich authentifiziert

--------

ich denke das reicht dann wenn ich das per -htaccess

oder ist das besser mit nem kleinem interface über php also ne seite davor zu machen?

[flashpixx]

ich möchte auch das man das wiki sich nicht anschauen kann ohne das man sich authentifiziert

Authentifizierung über Plugin im Wiki möglich gegen AD

ich denke das reicht dann wenn ich das per -htaccess

htaccess mit mod_auth_ldap gegen AD

oder ist das besser mit nem kleinem interface über php also ne seite davor zu machen?

Warum so etwas, wenn Du per htaccess und LDAP direkt authentifizieren kannst. Halte ich für nicht sinnvoll, denn ich kann den Link zu der Wikistartseite dann direkt manuell im Browser aufrufen und umgehe das Login, deshalb gibt es ja htaccess

Phil

Bearbeitet 6. Mai 2009 von flashpixx