AD Integration?

Forum für den Passwort-Server "Password Depot Enterprise Server".
Post Reply
NorbertFe
Super User
Super User
Posts: 105
Joined: March 4th, 2010, 5:18 pm

AD Integration?

Post by NorbertFe » August 15th, 2011, 3:56 pm

Hi,

wird es hinsichtlich der AD Integration (SAMAccountName bzw. UserPrincipleName) noch Änderungen geben? Die derzeitige Lösung ist nicht wirklich komfortabel/korrekt in meinen Augen.
Praktisch wäre, wenn bei einem Userimport beide Attribute ausgelesen würden (und regelmässig aktualisiert würden), um dann vom User äquivalent verwendet werden zu können.

Bye
Norbert

User avatar
AceBIT
Site Admin
Posts: 3449
Joined: March 20th, 2003, 8:08 pm

Re: AD Integration?

Post by AceBIT » August 15th, 2011, 6:47 pm

Hallo Norbert,

hier sehen wir nach wie vor keinen Handlungsbedarf. Sind denn nach der letzten Diskussion zu diesem Thema neue Argumente hinzugekommen, die wir an den PM weiterleiten könnten?
Beste Grüße aus Darmstadt! - Best regards from Darmstadt!

AceBIT GmbH, Holzhofallee 15, 64295 Darmstadt, Deutschland - Tel.: +49 61 51 136 50-0, Fax: +49 61 51 136 50-20, E-Mail: info@acebit.de, Web: https://www.acebit.de

NorbertFe
Super User
Super User
Posts: 105
Joined: March 4th, 2010, 5:18 pm

Re: AD Integration?

Post by NorbertFe » August 15th, 2011, 7:15 pm

Nabend,

Wieso nach wie vor? Die Implementation ist einfach fehlerhaft an dieser Stelle. Ich kann den UPN nicht verwenden. Denn es wird von Password Depot nicht der UPN verwendet sondern ein aus dem SamAccountName und dem AD Domainname zusammengebastelter UPN-ähnlicher Wert, der aber nicht paßt. Abgesehen davon ist die Verwendung von AD Domainname in der Schreibweise Domain\Samaccountname eher unüblich und sollte in solchem Fall gegen den Netbios Domain Namen ersetzt werden.

Und wie gesagt, der User muß wissen, welchen Namen er verwenden darf/will. SamAccountname mit unüblicher Schreibweise, oder zusammengebastelter UPN, der zudem nur dann funktioniert, wenn der ausgelesene AD Domainname mit dem UPN Suffix übereinstimmt und zusätzlich wenn der Localpart des UPN mit dem Samaccountname übereinstimmt.

Das ist für mich nicht wirklich intuitiv geschweige denn ein "Integration" in dem Sinne. Jede Anwendung die gegen das AD authentifiziert sollte die beiden korrekten Möglichkeiten zulassen.

Bye
Norbert

User avatar
Marcel (AceBIT-Team)
Veteran
Veteran
Posts: 83
Joined: August 16th, 2011, 11:41 am

Re: AD Integration?

Post by Marcel (AceBIT-Team) » August 23rd, 2011, 5:03 pm

Hallo NorbertFe,

wir haben die AD-Integration getestet und konnten nachvollziehen, dass der Import einer gesamten Benutzergruppe zu einer fehlerhaften Formatierung des Gruppennamens "domlvl2.domlvl1\Gruppenname" führt. Auch konnten wir nachvollziehen, dass beim Import einer gesamten Benutzergruppe die einzelnen User in der entsprechenden Ansicht mit der niedrigsten teil-domain ausgestattet waren (in unserem Fall "domlvl2").

Leider ging für uns aus Ihrer Antwort nicht klar hervor, welche (nicht bereits gegebene) Funktionalität Sie von der AD-Integration erwarten?


Viele Grüße,
Ihr AceBIT-Support-Team
Best regards,
- Acebit Support -Team -

NorbertFe
Super User
Super User
Posts: 105
Joined: March 4th, 2010, 5:18 pm

Re: AD Integration?

Post by NorbertFe » August 26th, 2011, 5:14 pm

Hallo,

also nochmal. Derzeit sind möglich ad-domainname\samaccountname oder samaccountname@ad-domainname (bspw. domain.local\norbert oder norbert@domain.local). Zumindest ist es das, was ich bei mir in der Adminkonsole beim Import von Nutzern geboten bekomme, bzw. von Hand auch ändern kann.

Der Samaccountname ist ein AD-Attribut, genau wie der UPN. Der UPN setzt sich NICHT wie derzeit von Password Depot genutzt samaccountname@domain.local. Weder der Samaccountname noch der AD Domain Name müssen im UPN auftauchen. Insofern wäre es günstiger, wenn einfach beide Attribute ausgelesen werden (samaccountname und UPN) und eine Anmeldung an PD mit beiden gleichberechtigt möglich ist. Da sich ein UPN oder auch ein Samaccountname aber auch mal ändern kann, wäre es günstig, wenn eben nicht ein String davon gespeichert würde, sondern die SID mit der jederzeit eine Zuordnung auch zu einer Umbenennung erfolgen könnte.
Weiterhin ist bei der Schreibweise domain\samaccountname üblicherweise der NT-Domain Name vor dem Backslash und nicht der AD Domainname. Auch der kann wiederum anderslautend sein und muß keinen direkten Bezug zum domain.local oder ähnlichen Schreibweisen haben.

Bye
Norbert

NorbertFe
Super User
Super User
Posts: 105
Joined: March 4th, 2010, 5:18 pm

Re: AD Integration?

Post by NorbertFe » September 10th, 2011, 10:30 pm

Hi,

war meine Beschreibung denn verständlicher, oder ist das Thema für Acebit erledigt und ich muß damit leben?

Bye
Norbert

User avatar
Marcel (AceBIT-Team)
Veteran
Veteran
Posts: 83
Joined: August 16th, 2011, 11:41 am

Re: AD Integration?

Post by Marcel (AceBIT-Team) » September 12th, 2011, 10:04 am

Hallo,

die Erklärung war verständlich und wurde an die zuständigen Entwickler weitergeleitet. Eine Überarbeitung des AD-Imports ist derzeit geplant.
Best regards,
- Acebit Support -Team -

NorbertFe
Super User
Super User
Posts: 105
Joined: March 4th, 2010, 5:18 pm

Re: AD Integration?

Post by NorbertFe » September 12th, 2011, 10:26 am

Hallo,

vielen Dank für die Antwort. Sollten Fragen bestehen, einfach Bescheid geben. ;) Für Tests stehe ich natürlich zur Verfügung.

Bye
Norbert

User avatar
Marcel (AceBIT-Team)
Veteran
Veteran
Posts: 83
Joined: August 16th, 2011, 11:41 am

Re: AD Integration?

Post by Marcel (AceBIT-Team) » September 12th, 2011, 1:38 pm

Hallo,

vielen Dank für das nette Angebot. Sowie uns eine entsprechende Version vorliegt, kommen wir gerne darauf zurück :)
Best regards,
- Acebit Support -Team -

NorbertFe
Super User
Super User
Posts: 105
Joined: March 4th, 2010, 5:18 pm

Re: AD Integration?

Post by NorbertFe » July 4th, 2014, 11:06 am

Hallo,

leider ist aber auch im Password Depot Server Version 7 (4 Jahre nach meiner ersten Anfrage) das selbe Verhalten wie bisher. Weiterhin wird beim Import aus dem AD (AD Domain Name) + SAMAccount Name der Password Depot Anmeldename zusammengesetzt. Ist dort entwicklungstechnisch überhaupt etwas geändert worden? Für mich sieht es erstmal nicht so aus.

Die derzeitige Lösung funktioniert NUR, wenn der local part des UPN identisch mit dem SAMAccountName ist. Und das ist eben nicht zwingend notwendig im AD und manchmal sogar unerwünscht. Ansonsten muß man alles nachträglich von Hand editieren.

Danke fürs Lesen.

Bye
Norbert

User avatar
Stefan (AceBIT Team)
Guru
Guru
Posts: 423
Joined: June 4th, 2013, 5:19 pm

Re: AD Integration?

Post by Stefan (AceBIT Team) » July 8th, 2014, 12:31 pm

Hallo Norbert,

vielen Dank für Ihr Feedback.

Wir haben eine entsprechende Meldung an unseren Produkt-Manager weitergeleitet.

NorbertFe
Super User
Super User
Posts: 105
Joined: March 4th, 2010, 5:18 pm

Re: AD Integration?

Post by NorbertFe » July 23rd, 2014, 11:26 am

Danke. Dann warte ich mal auf eine Reaktion. ;)

NorbertFe
Super User
Super User
Posts: 105
Joined: March 4th, 2010, 5:18 pm

Re: AD Integration?

Post by NorbertFe » June 19th, 2017, 11:27 pm

Hi,

weitere 3 Jahre sind vergangen, aber auch in der Version 10 die ich gerade teste, hat sich an dem Problem offenbar nichts geändert. Nutzer werden immer noch nach einem unsinnigen Prinzip importiert. Mal davon abgesehen, dass der Import Wizard bei großen Domains keinerlei Filter zuläßt, um bspw. den SearchDN zu spezifizieren, damit man nicht jedesmal durch zig Service Accounts scrollen muß.

Schade eigentlich. :|

Bye
Norbert

User avatar
AceBIT
Site Admin
Posts: 3449
Joined: March 20th, 2003, 8:08 pm

Re: AD Integration?

Post by AceBIT » July 13th, 2017, 6:40 pm

Hier sehen wir keinen Handlungsbedarf. Wir werden kein UPN für die Authentifizierung verwenden, sondern nur den Accountnamen und NetBIOS Domainnamen. Aus dem AD-Import können wir nur eine begrenzte Anzahl an Attributen etc. extrahieren.
Beste Grüße aus Darmstadt! - Best regards from Darmstadt!

AceBIT GmbH, Holzhofallee 15, 64295 Darmstadt, Deutschland - Tel.: +49 61 51 136 50-0, Fax: +49 61 51 136 50-20, E-Mail: info@acebit.de, Web: https://www.acebit.de

NorbertFe
Super User
Super User
Posts: 105
Joined: March 4th, 2010, 5:18 pm

Re: AD Integration?

Post by NorbertFe » July 17th, 2017, 1:33 pm

Nochmal, ES WIRD EBEN NICHT der Netbios Domain Name verwendet. Ich kann das gern mit Screenshots belegen. Alternativ kann mir gern jemand mitteilen, wie ich da den NETBIOS Domain Namen hinkriege. Unabhängig davon verstehe ich das Problem nicht, entweder beides zu importieren oder dem Admin die Wahl zu überlassen. Beide Attribute stehen doch lesbar im AD.

Insofern sehe ich da zumindest Bedarf.

Bye
Norbert

writetome
Newbie
Newbie
Posts: 1
Joined: March 14th, 2018, 5:45 pm

Re: AD Integration?

Post by writetome » March 14th, 2018, 5:47 pm

Hallo,

ich habe heute die Testversion des Servers einmal installiert und auch einige AD User importiert.
Leider ist es mir bisher nicht gelungen mich mit einem AD User dann im Password Depot Client anzumelden.
Ich habe domäne\benutzer und auch benutzer@domaine.local getestet.

Was mache ich falsch?

Viele Grüße
Tobias

User avatar
AceBIT
Site Admin
Posts: 3449
Joined: March 20th, 2003, 8:08 pm

Re: AD Integration?

Post by AceBIT » March 15th, 2018, 5:28 pm

Hallo Tobias,

1) Der Assistent erkennt automatisch alle verfügbaren Domänencontroller und listet sie im Feld Domäne auf. Wenn Ihre Domäne dort nicht aufgeführt wird, ist dieser Computer wahrscheinlich nicht mit dem Ziel-Domänennetzwerk verbunden. Stellen Sie sicher, dass der Computer zur Domäne gehört und auf den Domänencontroller zugreifen kann.

2) Für den Import benötigen Sie ein Konto der Domäne - es kann jedes beliebige Konto sein, also nicht notwendigerweise das Administratorkonto. Beachten Sie, dass der Windows Domain Controller keine gleichzeitigen Verbindungen von zwei verschiedenen Konten auf demselben Computer zulässt. Wenn es also auf Ihrem Computer Prozesse gibt, die bereits mit dem Active Directory mit dem Konto XY verbunden sind, dann verwenden Sie dasselbe Konto XY für den Import in PD Enterprise Server. Dieses Konto darf aber nicht bereits an einem anderen Computer angemeldet sein.
Beste Grüße aus Darmstadt! - Best regards from Darmstadt!

AceBIT GmbH, Holzhofallee 15, 64295 Darmstadt, Deutschland - Tel.: +49 61 51 136 50-0, Fax: +49 61 51 136 50-20, E-Mail: info@acebit.de, Web: https://www.acebit.de

Post Reply