1. Just Social Support
  2. Technisches
  3. Nutzer-Import und Authentifizierung

Verbindung des Just Servers mit dem LDAP/AD

Folgen
Avatar
Just Social

Der Just Server muss mittels des LDAP Protokolls (Port 389 oder 636) mit dem AD/LDAP Server kommunizieren können.

Wenn der Just Server beim Kunden gehostet ist muss dieser Port intern zum AD/LDAP Server frei geschaltet werden.

Wenn der Just Server von Just Social und der AD / LDAP Server beim Kunden intern gehostet wird, gibt es 3 Möglichkeiten eine Verbindung sicherzustellen.

  1. ipsec Site-to-Site Verbindung (präferierte Lösung)
  2. OpenVPN Client-to-Site Verbindung
  3. Port Forwarding mit einer festen Source IP

Zu 1) (präferierte Lösung) Der Just Server baut in diesem Fall mittels ipsec eine Site-to-Site Verbindung mit folgenden Parametern zum Kundennetzwerk auf. Diese müssen ebenfalls auf Kundenseite eingestellt werden:

ipsec_remote_host ==> ? (IP der Kunden IPSec Gegenstelle)
ipsec_remote_internal_host ==> ? (IP des AD-Servers)
ikev2 (ikev1 kann auf Wunsch auch eingestellt werden)
(P1)ipsec_ike: "aes256-sha2_256-modp2048!"
(P2)ipsec_esp: "aes256-sha2_256-modp2048!"
(P1)ipsec_ikelifetime: 8h
(P2)ipsec_lifetime: 1h
ipsec_dpddelay: 10
ipsec_dpdtimeout: 120
ipsec_local_ip: 172.16.1.28/32 (interne IP des Just Server.
     Auf Wunsch kann eine andere IP eingestellt werden)
ipsec_external_ip: URL des Just Server.
     Bsp: kundenname.just.social

An Ports wird nur der LDAP Port (389/636) benötigt.

Zu 2) Sollte Variante 1 nicht möglich sein, ist auch eine OpenVPN Client-to-Site Verbindung möglich. Hierfür benötigen wir von euch lediglich eine .ovpn Config Datei samt dazugehöriger Zertifikate oder Login Dateien um diese bei uns im openvpn Client zu importieren. Wichtig ist, dass im Tunnel NICHT eingestellt wird, dass sämtlicher Traffic durch den Tunnel geleitet wird. Dieses würde eure Internet Verbindung nur unnötig belasten.

zu 3) Die einfachste aber unsicherste Variante wäre ein Port Forwarding mit fester Source IP unseres Just Servers. In diesem Fall sollte auf jeden Fall LDAPS genutzt werden, da die Daten ansonsten komplett unverschlüsselt sind.

 

Sobald diese Verbindung steht, kann es mit dem eigentlichen Import weitergehen:

LDAP und AD Import

0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.

Beiträge in diesem Abschnitt

Weitere anzeigen

© Just Social Support