Page tree
Skip to end of metadata
Go to start of metadata

Hintergrund: Benutzer-Authentifizierung mit Active directory AD

Username und Passwort werden zentral im Active Directory, dem Verzeichnisdienst von Microsoft, verwaltet. Drittdienste fragen bei diesem an, ob die Zugangsdaten eines Users gültig und aktuell sind. Oft wird für solche Anfragen das Protokoll ldap verwendet. Dieses ermöglicht es nur "erfolgreich"/"erfolglos" als Ergebnis zu übermitteln, insbesondere Gründe für einen Misserfolg können nicht übertragen werden. Ob schlicht das Passwort falsch war oder es "nur" abgelaufen ist, kann dem User somit leider nicht übermittelt werden. Die Anfrage erfolgt bei jedem Login, die Daten des AD werden also nicht bei den anfragenden Diensten in irgendeiner Form zwischengespeichert. Pro Loginversuch erfolgt eine Anfrage an das AD.

Zusammenfassend: Das Active Directory

  • stellt Benutzerinformationen und Gruppenzugehörigkeiten bereit
  • authentifiziert die Benutzer für verschiedene Komponenten, so für das Windows-Konto, Schuleigene Computer, Schulnetz, Email, Moodle, VMware,...

Die zentrale Nutzerverwaltung durch AD ermöglicht es, für alle diese Dienste dasselbe Login mit demselben Passwort zu verwenden. In regelmässigen Abständen muss dieses Passwort allerdings geändert werden. Die Änderung betrifft alle Dienste, das Passwort ändert es sich automatisch und zeitgleich für alle Dienste. 

Wenn das Passwort abgelaufen ist, werden alle diese Dienste gesperrt. Sie funktionieren erst wieder, wenn das Passwort geändert wird. Dieses lässt sich derzeit nur ändern, indem man sich an einem schuleigenen Computer oder über VDI anmeldet. Ab Schuljahr 2020/21 wird es möglich sein, die Passwörter direkt in O365 zu ändern. 



  • No labels