# Nativer bzw. direkter Zugriff auf Active Directory



## Grizzly (25. Sep 2012)

Hallo zusammen, 

unsere Software kann aktuell per LDAP an ein Active Directory angebunden. Das funktioniert soweit auch wunderbar. Allerdings ist das meistens ziemlich umständlich zu konfigurieren, so dass viele unserer Kunden das gar nicht ohne Hilfe hinbekommen.

Nun ist die Frage, ob es auch eine alternative dazu gibt sprich ob man das AD auch direkt ansprechen kann - möglichst auch von einer Linux Maschine raus.

In einem Blog habe ich diesen Artikel gefunden: Connecting to Active Directory in Java: Still a Sorry State of Affairs  Nick Watts’ Weblog
Der macht nicht gerade Mut.  Und es war auch das einzig verwertbare, was Google von sich gegeben hat. In allen anderen Fällen wird die Sache über LDAP gelöst.


----------



## hexx (25. Sep 2012)

Eine plattform-unabhängie ADSI Bilbliothek gibt es meines Wissens nicht. Wenn du darauf abzielst.

Was ist denn an der Konfiguration so umständlich?


----------



## Grizzly (25. Sep 2012)

Unsere Erfahrung zeigt, dass die meistens Administratoren gerade noch so eben und eben Ihr AD kennen. LDAP haben die aber noch nie gehört. Und wenn es dann an Base-DN und Benutzer-DN geht, ist bei denen Ende Gelände. Da wäre es halt einfacher, wenn die ihren Windows Benutzer inkl. Domäne eingeben und fertig. Das wissen die meisten immerhin.


----------



## hexx (25. Sep 2012)

Je nach dem, was für eine Applikation das ist, kann man die Konfiguration automatisieren:

Die IP-Adresse des LDAP Servers steht im DNS [1]. Damit kann man sich mit dem Server verbinden und den rootDSE [2] erfragen. Speziell das Attribut namingContexts bzw. defaultNamingContext.

Wenn die Konfiguration über GUI läuft, kann man dann den Verzeichnisbaum anzeigen und den Benutzer auswählen lassen. 

Wenn man Kerberos benutzt, kommt man u. U. sogar ohne Benutzername un PW aus.

[1] Glenn Weadock on Windows Server 2008: SRV Records and Active Directory
[2] RootDSE


----------



## Grizzly (26. Sep 2012)

Danke, hexx, für die Antwort. Ich habe das mal mit einem Kollegen überflogen und das sieht nicht schlecht aus. Kerberos haben wir schon implementiert. Der Rest sollte dann eigentlich kein Problem sein.


----------

