การพิสูจน์ตัวตนของ Active Directory ด้วยพรอกซี LDAP

10

เรามีบริการในเครือข่ายแยก บริการเหล่านี้จำเป็นต้องพิสูจน์ตัวตนผู้ใช้กับเซิร์ฟเวอร์ Active Directory

อย่างไรก็ตามเซิร์ฟเวอร์ Active Directory ไม่สามารถใช้งานได้โดยตรงดังนั้นฉันต้องตั้งค่าพร็อกซี LDAP ในเครือข่ายแยก จากนั้นพร็อกซี LDAP จะสามารถเข้าถึงโฆษณาได้ หมายเหตุว่าการเข้าถึงจะต้องได้รับการอ่านอย่างเดียวและพร็อกซี่นี้จะมีการเข้าถึงเพียงหนึ่งเซิร์ฟเวอร์โฆษณา

เป็นไปได้ / เป็นไปได้?
คำว่า "proxy" เป็นคำที่ดีหรือไม่
จำเป็นต้องใช้เซิร์ฟเวอร์ Microsoft AD หรือ OpenLDAP จะทำงานได้ดีหรือไม่?
ฉันมีความรู้เล็กน้อยเกี่ยวกับ AD / LDAP, ช่วงการเรียนรู้เป็นอย่างไร?
คำแนะนำเล็กน้อยที่จะเริ่ม?

ขอบคุณ

active-directory authentication openldap

— SamK
แหล่งที่มา

7

เป็นไปได้ / เป็นไปได้?

นี่เป็นไปได้และเป็นเรื่องธรรมดา หากคุณค้นหาบางอย่างเช่น ไดเรกทอรีเปิดใช้งานพร็อกซี openldapคุณจะพบผลลัพธ์ที่มีประโยชน์มากมาย

คำว่า "proxy" เป็นคำที่ดีหรือไม่

นี่เป็นคำที่ถูกต้องอย่างแน่นอนที่จะใช้

จำเป็นต้องใช้เซิร์ฟเวอร์ Microsoft AD หรือ OpenLDAP จะทำงานได้ดีหรือไม่?

หากลูกค้าของคุณคาดหวังว่าจะมีเซิร์ฟเวอร์ LDAP เท่านั้น OpenLDAP ก็ใช้ได้โดยเฉพาะถ้าคุณต้องการเข้าถึงแบบอ่านอย่างเดียว

ฉันมีความรู้เล็กน้อยเกี่ยวกับ AD / LDAP, ช่วงการเรียนรู้เป็นอย่างไร?

เป็นคำถามที่ตอบยาก ฉันพบว่า LDAP นั้นใช้งานง่าย แต่การห่อหุ้มหัวของคุณไว้รอบ ๆ การควบคุมการเข้าถึงใน OpenLDAP สามารถใช้งานได้เล็กน้อย

คำแนะนำเล็กน้อยที่จะเริ่ม?

หากสิ่งที่คุณต้องทำคือการทำให้เซิร์ฟเวอร์โฆษณาพร้อมใช้งานภายในเครือข่ายท้องถิ่นของคุณแล้วพร็อกซี TCP แบบง่ายหรือกฎ iptables ที่เหมาะสมจะง่ายกว่าพร็อกซี LDAP แบบเต็ม ข้อเสียของสิ่งนี้คือคุณจะต้องทำการควบคุมการเข้าถึงในด้าน Active Directory ของสิ่งต่าง ๆ

หากคุณตัดสินใจที่จะไปกับ OpenLDAP ในฐานะตัวแทน:

การติดตั้งและกำหนดค่าทีละขั้นตอนของ OpenLDAP เนื่องจาก Proxy ไปยัง Active Directoryดูเหมือนจะเหมาะสมกับค่าใช้จ่ายจากชื่อ แต่มันไม่ดีเท่าแนวทาง
เอกสารแซมบ้ามีบันทึกบางส่วนตามบรรทัดเหล่านี้
บทความนี้ฉันเขียนไม่กี่ปีที่ผ่านมาเป็นมากกว่าที่คุณต้องการ แต่จะมีตัวอย่างการกำหนดค่าบางอย่าง

— larsks
แหล่งที่มา

1

Active Directory Lightweight Directory Servicesดูเหมือนสิ่งที่คุณต้องการ - แต่ถ้าคุณต้องการรับรองความถูกต้องกับโฆษณาโดยตรงคุณสามารถทำได้เพียงแค่ทำ TCP proxy กลับไปที่เซิร์ฟเวอร์โฆษณาของคุณ HAProxyจะเป็นแบบที่ดี

— เชนหัวเสีย
แหล่งที่มา

กฎ iptables บางอย่างทำงานเหมือนกับที่คุณอธิบายหรือไม่ debian-administr.org/articles/595

— SamK

ที่จริงแล้วกฎอีกสองข้อ: 1. การเข้าถึงจะต้องอ่านอย่างเดียว 2. ฉันมีสิทธิ์เข้าถึงเซิร์ฟเวอร์โฆษณาเพียงเครื่องเดียว

— SamK