Schlagwort-Archive: Microsoft Active Directory

BitNotice #103 – Windows Server 2016: Active Directory Grundinstallation

BitNotice #103 - Windows Server 2016: Active Directory Grundinstallation

(15 MB) 00:09:55

2016-07-20 17:00 🛈

Windows Server 2016 steht vor der Tür – Zeit zu schauen, ob sich bei der Erstellung eines Active Directorys etwas geändert hat. Kurzfassung: Wer 2012R2 kennt  wird sich schnell zurechtfinden, aber da ich ohnehin für ein Testsystem am installieren bin schauen wir uns die Prozedur nochmal im Schnelldurchgang an.

 

BitBastelei #185 – Windows Server 2012 R2: Grundinstallation/Domäne

BitBastelei #185 - Windows Server 2012 R2: Grundinstallation/Domäne

(20 MB) 00:16:20

2016-02-21 11:00 🛈

Wenn ein Netzwerk auf Windows-Basis eingerichtet werden soll ist als zentrale Stelle häufig der Windows Server anzutreffen. Aktuell ist die Version 2012 R2 die neueste, welche offiziell Verfügbar ist. Hier gibt es eine Kombination aus Installation des Servers, Konfiguration als Domänencontroller und diversen Abschweifungen. Das fertige Konstrukt kann als Startpunkt für weitere Einrichtungen dienen.

Download: https://www.microsoft.com/de-de/evalcenter/evaluate-windows-server-2012-r2

Apache Reverse Proxy mit LDAP absichern

Apache als Reverse Proxy hatten wir jetzt ja schon öfter, jedoch immer nur als 1:1-Druchlass. Ab und an möchte man jedoch Systeme nur einem beschränken Nutzerkreis verfügbar machen. Der Vorteil einer Filterung auf dem Proxy selbst: Dieser ist meist sicherer als die nachgeschalteten Systeme und hat durch seine Position innerhalb der DMZ bei einem Einbruch weniger Zugriffe auf die internen Systeme als die endgültig erreichten Systeme. Als Nutzerdatenbank ist LDAP, z.B. bei der Nutzung von Microsofts „Active Directory“ sehr verbreitet.

Um den Ordner /test abzusichern lässt sich folgender Codeblock nutzen, welcher das vorherige ProxyPass/ProxyPassReverse ersetzt. Ohne Proxy ist der Block natürlich auch zur Absicherungen „normaler“ Webseiten nutzbar.

 #Test LDAP
<Location /testldap>
    Require all denied
    ProxyPass http://intern.adlerweb.info/test
    ProxyPassReverse http://intern.adlerweb.info/test
    AuthLDAPBindDN "CN=apacheuser,OU=Systemaccounts,OU=Intern,DC=Adlerweb;DC=info"
    AuthLDAPBindPassword "1234"
    AuthLDAPURL "ldap://dc1.intern.adlerweb.info/ou=Intern,dc=Adlerweb,dc=info?sAMAccountName?sub?(objectClass=*)"
    AuthType Basic
    AuthName "Adlerweb ADS Auth"
    AuthBasicProvider ldap
    # Important, otherwise "(9)Bad file descriptor: Could not open password file: (null)"
    AuthUserFile /dev/null
    require valid-user
</Location>

Hiermit dürfen alle Nutzer in der Organisationseinheit „Intern“ der Domäne „Adlerweb.info“ auf die Ressourcen zutreffen (valid-user).

Es sind auch spezifischere Zuweisungen möglich – über den Nutzernamen:

Require ldap-user "adlerweb"

…über die DN

Require ldap-dn CN=adlerweb,OU=Intern,dc=Adlerweb,dc=info

Für Gruppen gibt es mehrere Möglichkeiten:

Require ldap-group CN=Testgruppe,OU=Intern,dc=Adlerweb,dc=info

ist die klassische Methode, macht jedoch mit Active Directory Probleme: Nutzer in der genannten Gruppe haben fehlerfrei Zugriff, sind jedoch rekursive Gruppen vorhanden schlägt die Authentifizierung fehl. Als Ausweg kann man hier einen LDAP-Filter verwenden – nicht ganz so schön, dafür funktionierend:

Require ldap-filter memberof:1.2.840.113556.1.4.1941:=CN=Testgruppe,OU=Intern,dc=Adlerweb,dc=info

Quellen:
http://serverfault.com/a/424706