Aanloggen met AD credentials op server in de DMZ

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • BikkelZ
  • Registratie: Januari 2000
  • Laatst online: 21-02 08:50
Ik heb een webapplicatie in .Net gemaakt, die moet gaan draaien op een server die in de DMZ hangt. Nu kan ik lokaal natuurlijk wel met AD authenticatie werken, maar ik merk dus dat op die DMZ server (die wel toegang heeft tot de AD server) mijn AD loginnaam niet meer herkend wordt. De applicatie moet in de DMZ draaien want er moeten ook mensen vanaf buiten kunnen inloggen met een handmatige login, maar eigenlijk moet iedereen vanaf intranet automatisch geauthentificeerd worden.

Is er uberhaupt een mogelijkheid om dit te bereiken of ben ik gedwongen een van twee te kiezen?

iOS developer


Acties:
  • 0 Henk 'm!

  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Waarom zou 'ie in de DMZ moeten? Kun je niet gewoon poort X (80 waarschijnlijk) forwarden naar je server?

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij


Acties:
  • 0 Henk 'm!

  • BikkelZ
  • Registratie: Januari 2000
  • Laatst online: 21-02 08:50
Dat is de security policy hier. Volgens mij zie ik het ook vrij vaak bij andere bedrijven...

Erger nog, er zijn eigenlijk drie niveaus vereist:

- Lokaal ingelogd en in de juiste groep (intranet) --> automatisch geauthentificeerd
- Extern inloggen --> username en password checken tov ad
- Extern inloggen failed --> checken op asp.net users

Dit komt omdat de meeste mensen wel bij ons werken en dus een user zijn, maar sommige mensen extern ingehuurd zijn en toch de applicatie moeten kunnen gebruiken. Maar optie 3 kun je vooralsnog vergeten.

[ Voor 71% gewijzigd door BikkelZ op 10-04-2009 13:34 ]

iOS developer


Acties:
  • 0 Henk 'm!

  • Equator
  • Registratie: April 2001
  • Laatst online: 17:32

Equator

Crew Council

#whisky #barista

Dit kan op meerdere manieren:

Of je prikt een gaatje in de firewall vanaf je webserver naar de AD server in het productie lan.
Of je plaatst een Read Only Domain Controller in de DMZ. Deze RO-DC moet wel kunnen repliceren met de rest van de AD, dus moet je nog steeds een gaatje prikken in de firewall.

Zie: http://technet.microsoft.com/en-us/library/cc732801.aspx

Makkelijkste is natuurlijk om een gaatje te prikken in de firewall voor alleen de webserver naar de DC in het productielan.

[ Voor 28% gewijzigd door Equator op 10-04-2009 14:17 ]


Acties:
  • 0 Henk 'm!

  • BikkelZ
  • Registratie: Januari 2000
  • Laatst online: 21-02 08:50
Equator schreef op vrijdag 10 april 2009 @ 14:14:
Makkelijkste is natuurlijk om een gaatje te prikken in de firewall voor alleen de webserver naar de DC in het productielan.
Volgens mij is dit al zo ingeregeld. Maar hoe weet die webserver nou welke user het is?

iOS developer