Аутентификация Active Directory с прокси-сервером LDAP


10

У нас есть услуги в изолированной сети. Эти службы должны аутентифицировать пользователей на сервере Active Directory.

Однако сервер Active Directory недоступен напрямую, поэтому мне нужно настроить прокси-сервер LDAP в изолированной сети. Прокси-сервер LDAP получит доступ к AD. Обратите внимание, что доступ должен быть только для чтения, и этот прокси-сервер будет иметь доступ только к одному серверу AD.

  • Это возможно / возможно?
  • Является ли термин «прокси» хорошим термином?
  • Является ли сервер Microsoft AD обязательным или OpenLDAP справится с задачей?
  • У меня мало знаний об AD / LDAP, какова кривая обучения?
  • Несколько советов, с чего начать?

Спасибо.

Ответы:


7

Это возможно / возможно?

Это возможно и распространено. Если вы ищете что-то вроде активного каталога openldap proxy, вы найдете ряд полезных результатов.

Является ли термин «прокси» хорошим термином?

Это абсолютно правильный термин для использования.

Является ли сервер Microsoft AD обязательным или OpenLDAP справится с задачей?

Если ваши клиенты ожидают только сервера LDAP, то с OpenLDAP все будет в порядке, особенно если вам нужен только доступ только для чтения.

У меня мало знаний об AD / LDAP, какова кривая обучения?

Не зная вашего происхождения, это сложный вопрос. Я нахожу, что LDAP принципиально прост, но чтобы обдумать управление доступом в OpenLDAP, может потребоваться немного работы.

Несколько советов, с чего начать?

Если все, что вам нужно сделать, это сделать сервер AD доступным в вашей локальной сети, то простой прокси-сервер TCP или соответствующие правила iptables будут намного проще, чем полноценный прокси-сервер LDAP. Недостатком этого является то, что вам нужно будет осуществлять контроль доступа со стороны Active Directory.

Если вы решили использовать OpenLDAP в качестве прокси:


1

Active Directory облегченные службы каталогов, кажется, именно то, что вам нужно, но если вы хотите напрямую аутентифицироваться в AD, вы можете вместо этого просто сделать TCP-прокси обратно на серверы AD; HAProxy подойдет.


Некоторые правила iptables выполняют ту же работу, что и вы? debian-administration.org/articles/595
SamK

Собственно, еще два правила: 1. Доступ должен быть только для чтения. 2. У меня есть доступ только к одному серверу AD.
SamK
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.