• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

AD LDS Proxy Authentication

Jan 31, 2018 (Letztes Update) | Posted by Jens Künzler Administration |

 

AD LDS Proxy Authentication

Das AD LDS – Active Directory Lightweight Directory Services (ehemals ADAM) LDAP Directory bietet verschiedene Authentifizierungsmethoden, z.B.

  • simple LDAP bind
  • anonymous bind oder
  • bind redirection  – auch bekannt als Proxy Authentication.

Den Nutzen der Proxy Authentication werde ich in diesem Beitrag näher betrachten.

Inhaltsverzeichnis

  • 1 Was bedeutet AD LDS Proxy Authentication?
    • 1.1 Beispiel für ein AD User Object mit zugehörigem AD LDS userProxyFull
  • 2 Welchen Nutzen bringt eine AD LDS Proxy Authentication?
    • 2.1 Authentifizierung unternehmensweiter Anwendungen
    • 2.2 Anwendung erfordert eine Schema Erweiterung
    • 2.3 X.500 Notation
  • 3 What’s next?
  • 4 Update 22.03.2016

Was bedeutet AD LDS Proxy Authentication?

Bei der AD LDS Proxy Authentication wird ein Simple LDAP Bind einer Anwendung von AD LDS an eine Active Directory Domain weitergeleitet – bind redirection. Für diesen Zweck kennt AD LDS eine spezielle User Object Class: userProxy oder userProxyFull. Es ist ein Zusammenspiel zwischen dem userProxy Object der AD LDS Instanz und dem User Object in einer Active Directory Domain. Das userProxy Object der AD LDS Instanz enthält die SID des User Objects aus der AD Domain. Eine Anmeldung eines Benutzers an der AD LDS Instanz mit Benutzername und Passwort wird von AD LDS automatisch an die AD Domain mit dem echten Benutzerkonto weitergeleitet (redirected). Die AD Domain des User Objects, an welche die Anmeldung weitergeleitet werden soll, erkennt AD LDS anhand des Domain-Anteils der UserSID. Der Server, auf welchem die AD LDS Instanz läuft, muss Mitglied in einer vertrauten (trusting) Domain sein, damit das User Object anhand seiner SID gefunden werden kann.

Beispiel für ein AD User Object mit zugehörigem AD LDS userProxyFull

Das Proxy Object der AD LDS Instanz hat die objectClass „userProxyFull“: 

userproxyFull

 

Die objectSID des User Objects aus der AD Domain (grün) entspricht der objectSID des Proxy Objects der AD LDS Instanz (blau):

userObjectSID

userproxyFull-SID

Welchen Nutzen bringt eine AD LDS Proxy Authentication?

Authentifizierung unternehmensweiter Anwendungen

Ein Unternehmen betreibt eine AD Domänen Struktur mit mehreren Domains und Forests und möchte eine neue unternehmensweite Anwendung einführen. Diese Anwendung unterstützt allerdings nur eine Instanz zur Authentifizierung und kann nicht eigenständig durch die Windows Domains browsen. Hier kann eine zentrale AD LDS Instanz mit Proxy Authentication genutzt werden um die Anmeldung der Benutzer an die richtige Windows Domain weiterzuleiten. Somit kann die Anwendung mit einer einzigen LDAP Instanz zur Authentifizierung konfiguriert werden und AD LDS übernimmt die Weiterleitung.

ProxyAuthentication-APP

 

Anwendung erfordert eine Schema Erweiterung

Zusätzlich zur reinen Proxy Authentication kann die AD LDS Instanz genutzt werden um z.B. spezielle Schema Erweiterungen für eine Anwendung bereitzustellen. Somit kann eine Schema Erweiterung der produktiven Active Directory Domains umgangen werden.

X.500 Notation

Die AD LDS Proxy Authentication kann ebenfalls hilfreich sein, wenn Anwendungen einen Directory Service in typischer X.500 Notation erwarten. Ein Active Directory User Object hat einen Distinguished Name (DN) nach folgendem Aufbau “CN=Username,CN=OU-Name,DC=Domain,DC=com“. Eine typische X.500 Notation erwartet aber einen etwas anderen DN „CN=Username,CN=OU-Name,O=Organization,C=DE“. Hier kann eine AD LDS Instanz eine Art Proxy für die Übersetzung zwischen X.500 und AD bereitstellen.

What’s next?

Die AD LDS Proxy Authentication stellt eine schöne Möglichkeit zur zentralen Weiterleitung von Authentifzierungsanfragen dar. Dies setzt aber voraus, dass alle Benutzerkonten ein userProxy Object als Spiegelbild in der AD LDS Instanz haben. Diese userProxy Objekte benötigen einen vollständigen Life-Cycle-Prozess (create / change / delete), damit z.B. neue AD Benutzerkonten automatisch in der AD LDS Instanz angelegt werden. Wie dieser Sychronisationsprozess mit der Unterstützung der Microsoft FIM 2010 R2 / MIM Sync-Engine bereitgestellt werden kann, werde ich in einem nachfolgenden Artikel behandeln.

Update 22.03.2016

Wie bereits angekündigt, gibt es hier einen weiterführenden Artikel, welcher die Anbindung einer AD LDS Instanz mit der Unterstützung von Microsoft MIM 2016 beschreibt: AD Domain und AD LDS via MIM 2016 synchronisieren


 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
Exchange Migration | AD Consulting

Kontaktieren Sie uns einfach unverbindlich,
wenn Sie Projektunterstützung benötigen.


Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 02.03.2016
Tags: AD LDSbind redirectionLightweight Directory ServicesProxy AuthenticationuserProxy
1

You also might be interested in

AD-LDS-Proxy-Authentication-mit-MIM

AD Domain und AD LDS via MIM 2016 synchronisieren

Mrz 22, 2016

Wie bereits im Artikel zu AD LDS Proxy Authentication beschrieben,[...]

AD DS versus AD LDS

AD DS und AD LDS im Direktvergleich

Apr 9, 2019

In diesem Artikel werden die Unterschiede zwischen den Verzeichnisdiensten Active[...]

AD LDS Installation und Backup mit Powershell

AD LDS Installation und Backup mit Powershell

Okt 16, 2019

Wer häufiger zu Testzwecken oder auch für produktive Installationen Windows[...]

1 Comment

Leave your reply.

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next