Uwierzytelnianie usługi Active Directory za pomocą serwera proxy LDAP

10

Mamy usługi w odizolowanej sieci. Usługi te muszą uwierzytelniać użytkowników na serwerze Active Directory.

Jednak serwer Active Directory nie jest bezpośrednio dostępny, dlatego muszę skonfigurować serwer proxy LDAP w izolowanej sieci. Serwer proxy LDAP będzie wtedy miał dostęp do AD. Pamiętaj, że dostęp musi być tylko do odczytu, a ten serwer proxy będzie miał dostęp tylko do jednego serwera AD.

  • Czy to możliwe / wykonalne?
  • Czy termin „pełnomocnik” jest dobrym terminem?
  • Czy serwer Microsoft AD jest obowiązkowy, czy OpenLDAP wykona zadanie dobrze?
  • Mam niewielką wiedzę na temat AD / LDAP, jak przebiega krzywa uczenia się?
  • Kilka wskazówek, od czego zacząć?

Dzięki.

SamK
źródło

Odpowiedzi:

7

Czy to możliwe / wykonalne?

Jest to zarówno wykonalne, jak i powszechne. Jeśli szukasz czegoś takiego jak openldap proxy active directory , znajdziesz wiele przydatnych wyników.

Czy termin „pełnomocnik” jest dobrym terminem?

Jest to absolutnie poprawny termin do użycia.

Czy serwer Microsoft AD jest obowiązkowy, czy OpenLDAP wykona zadanie dobrze?

Jeśli Twoi klienci oczekują tylko serwera LDAP, OpenLDAP będzie w porządku, szczególnie jeśli będziesz potrzebował tylko dostępu tylko do odczytu.

Mam niewielką wiedzę na temat AD / LDAP, jak przebiega krzywa uczenia się?

Trudno odpowiedzieć bez znajomości swojego pochodzenia. Uważam, że LDAP jest zasadniczo prosty, ale obejście kontroli dostępu w OpenLDAP może zająć trochę pracy.

Kilka wskazówek, od czego zacząć?

Jeśli wszystko, co musisz zrobić, to udostępnić serwer AD w sieci lokalnej, prosty serwer proxy TCP lub odpowiednie reguły iptables będą znacznie prostsze niż pełnowartościowy serwer proxy LDAP. Wadą tego jest to, że będziesz musiał przeprowadzić kontrolę dostępu po stronie Active Directory.

Jeśli zdecydujesz się na OpenLDAP jako serwer proxy:

Larsks
źródło
1

Lekkie usługi katalogowe Active Directory wydają się dokładnie tym, czego potrzebujesz - ale jeśli chcesz bezpośrednio uwierzytelniać się w AD, możesz zamiast tego zrobić proxy TCP z powrotem do serwerów AD; HAProxy dobrze by pasowało.

Shane Madden
źródło
Czy niektóre reguły iptables wykonują to samo, co opisujesz? debian-administration.org/articles/595
SamK
Właściwie dwie dodatkowe zasady: 1. dostęp musi być tylko do odczytu 2. Mam dostęp tylko do jednego serwera AD.
SamK