Aus Active Directory ohne Authentifizierung lesen

[janosch_de]

Hallo,

gibt es eine möglich Informationen aus dem AD über LDAP zu lesen, ohne sich mit einem Domain Account zu authentifizieren?

Der Grund für meine Frage ist folgender: Ich arbeite grad an einer Java Applikation, die auf einem Appache Tomcat Webserver läuft. Dabei ist es nötig, bestimmte Informationen aus dem AD zu lesen (z.B. Benutzernamen, Abteilungen…). Im Moment übergebe ich immer noch meine Account-Daten, was zum Testen ja auch ok ist. Für den Produktiveinsatz soll dann aber eine „saubere Lösung“ gefunden werden.

Und genau da beginnt mein Problem: Der Webserver hängt in unsere Domain, der Administrator von dem Server ist aber kein Domain User und deshalb funktioniert es nicht. Einen Domain User mit nicht ablaufenden Kennwort, über den die Abfragen gestellt werden, lassen unsere Sicherheitsbestimmungen logischer Weise nicht zu.

Da kam mir die Idee einfach einen zweiten Server zu nehmen, auf dem unser AD repliziert wird und der die Anfragen beantwortet. Beim googlen bin ich auf ADAM (Active Directory Application Mode) gestoßen. Leider funzt das bei mir nicht.

Hat vielleicht jemand von euch Erfahrungen auf diesem Gebiet und kann mir helfen? Bin für alle Tipps und Vorschläge dankbar!

LG Janosch

P.S.: Die Suchfunktion hier hab ich auch benutzt, aber nix Passendes gefunden. Falls ich mal wieder Tomaten auf den Augen hatte, bitte nicht hauen...

[Markus_83_nrw]

Das was du dir vorstellst, wäre ein noch größeres risiko als ein neuer user mit nicht ablaufendem Kennwort.

Wenn jeder über LDAP einsicht in das AD kriegen könnte, dann gute nacht. Dann kann jeder euer AD ausspionieren und gegebenenfalls kann er schneller etwas häcken. dieses sollte tunlichst vermieden werden.

Wenn dieses Unternehmesintern ist würde ich sagen das ein eigener user dafür genau das richtige wäre. aufgrund der GPOs kannst du ihm sogar nur das recht geben sich die AD-Daten anzeigen zu lassen, alles andere darfst du ihm verbieten.

Gurß Markus

[mr-blister]

Hallo,

Das was du dir vorstellst, wäre ein noch größeres risiko als ein neuer user mit nicht ablaufendem Kennwort

nein das ist nicht so. Es gibt sehr triftige Gründe, warum bestimmte Attribute (E-Mail, CostcenterDescriptio, telephonenumber etc.) "world-readable" sein können. Natürlich nicht alle Attribute!

Gruß

[Markus_83_nrw]

Hallo,

nein das ist nicht so. Es gibt sehr triftige Gründe, warum bestimmte Attribute (E-Mail, CostcenterDescriptio, telephonenumber etc.) "world-readable" sein können. Natürlich nicht alle Attribute!

Gruß

Nenn mir mal bitte ein paar, mir fallen keine ein die das Risiko Rechtvertigen :confused:

Gruß Markus

[mr-blister]

Hallo,

z.B. :

- du willst deine Telefonliste im AD führen, und per LDAP drarauf zugreifen

- du willst nach E-Mail-Adressen suchen

- du willst die Adresse eines Mitarbeiters finden

Zudem sollte man sich natürlich überlegen, ob man den Zugriff von außerhalb des Firmenetztes erlauben will.

Aber das wird jetzt Off-Topic glaub ich.

Gruß

[janosch_de]

z.B. :

- du willst deine Telefonliste im AD führen, und per LDAP drarauf zugreifen

- du willst nach E-Mail-Adressen suchen

- du willst die Adresse eines Mitarbeiters finden

Zudem sollte man sich natürlich überlegen, ob man den Zugriff von außerhalb des Firmenetztes erlauben will.

Genau das möchte ich machen, allerdings nur von Intern. Es soll nur lesender Zugriff möglich sein. Ich dachte, dass dies vielleicht mit ADAM geht, aber irgentwie komme ich mit dem Tutorial von Microsoft nicht so richtig klar.

Aber wenn jemand eine andere Idee hat, wäre das auch super.

[mr-blister]

Hi,

vielleicht hilft diese Anleitung weiter. (ungetestet!)

Gruß