Otentikasi Direktori Aktif dengan proksi LDAP


10

Kami memiliki layanan di jaringan yang terisolasi. Layanan ini perlu mengautentikasi pengguna terhadap server Active Directory.

Namun server Active Directory tidak tersedia secara langsung sehingga saya harus mengatur proxy LDAP di jaringan yang terisolasi. Proxy LDAP kemudian akan memiliki akses ke AD. Perhatikan bahwa akses harus hanya dibaca dan proksi ini hanya memiliki akses ke satu server AD.

  • Apakah ini mungkin / layak?
  • Apakah istilah "proksi" adalah istilah yang baik?
  • Apakah server Microsoft AD wajib atau OpenLDAP akan melakukan pekerjaan dengan baik?
  • Saya memiliki sedikit pengetahuan tentang AD / LDAP, bagaimana kurva belajarnya?
  • Beberapa petunjuk dari mana harus memulai?

Terima kasih.

Jawaban:


7

Apakah ini mungkin / layak?

Ini layak dan umum. Jika Anda mencari sesuatu seperti direktori aktif proxy openldap Anda akan menemukan sejumlah hasil yang bermanfaat.

Apakah istilah "proksi" adalah istilah yang baik?

Ini benar-benar istilah yang tepat untuk digunakan.

Apakah server Microsoft AD wajib atau OpenLDAP akan melakukan pekerjaan dengan baik?

Jika klien Anda hanya mengharapkan server LDAP maka OpenLDAP akan baik-baik saja, terutama jika Anda hanya perlu akses baca-saja.

Saya memiliki sedikit pengetahuan tentang AD / LDAP, bagaimana kurva belajarnya?

Tanpa mengetahui latar belakang Anda, itu pertanyaan yang sulit dijawab. Saya menemukan bahwa LDAP pada dasarnya sederhana, tetapi membungkus kepala Anda di sekitar kontrol akses di OpenLDAP dapat mengambil sedikit pekerjaan.

Beberapa petunjuk dari mana harus memulai?

Jika semua yang perlu Anda lakukan adalah membuat server AD tersedia dalam jaringan lokal Anda, maka proksi TCP sederhana atau aturan iptables yang sesuai akan jauh lebih sederhana daripada proksi LDAP yang lengkap. Kelemahan dari ini adalah bahwa Anda perlu melakukan kontrol akses di sisi Active Directory.

Jika Anda memutuskan untuk menggunakan OpenLDAP sebagai proxy:


1

Active Directory Layanan Direktori Ringan sepertinya persis seperti yang Anda butuhkan - tetapi jika Anda ingin secara langsung mengautentikasi terhadap AD, Anda bisa melakukan proxy TCP kembali ke server AD Anda; HAProxy akan cocok.


Apakah beberapa aturan iptables melakukan pekerjaan yang sama seperti yang Anda gambarkan? debian-administration.org/articles/595
SamK

Sebenarnya, dua aturan lagi: 1. akses harus dibaca saja 2. Saya hanya memiliki akses ke satu server AD.
SamK
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.