Uwierzytelnianie usługi Active Directory za pomocą serwera proxy LDAP

Mamy usługi w odizolowanej sieci. Usługi te muszą uwierzytelniać użytkowników na serwerze Active Directory.

Jednak serwer Active Directory nie jest bezpośrednio dostępny, dlatego muszę skonfigurować serwer proxy LDAP w izolowanej sieci. Serwer proxy LDAP będzie wtedy miał dostęp do AD. Pamiętaj, że dostęp musi być tylko do odczytu, a ten serwer proxy będzie miał dostęp tylko do jednego serwera AD.

• Czy to możliwe / wykonalne?
• Czy termin „pełnomocnik” jest dobrym terminem?
• Czy serwer Microsoft AD jest obowiązkowy, czy OpenLDAP wykona zadanie dobrze?
• Mam niewielką wiedzę na temat AD / LDAP, jak przebiega krzywa uczenia się?
• Kilka wskazówek, od czego zacząć?

Dzięki.

Czy to możliwe / wykonalne?

Jest to zarówno wykonalne, jak i powszechne. Jeśli szukasz czegoś takiego jak openldap proxy active directory , znajdziesz wiele przydatnych wyników.

Czy termin „pełnomocnik” jest dobrym terminem?

Jest to absolutnie poprawny termin do użycia.

Czy serwer Microsoft AD jest obowiązkowy, czy OpenLDAP wykona zadanie dobrze?

Jeśli Twoi klienci oczekują tylko serwera LDAP, OpenLDAP będzie w porządku, szczególnie jeśli będziesz potrzebował tylko dostępu tylko do odczytu.

Mam niewielką wiedzę na temat AD / LDAP, jak przebiega krzywa uczenia się?

Trudno odpowiedzieć bez znajomości swojego pochodzenia. Uważam, że LDAP jest zasadniczo prosty, ale obejście kontroli dostępu w OpenLDAP może zająć trochę pracy.

Kilka wskazówek, od czego zacząć?

Jeśli wszystko, co musisz zrobić, to udostępnić serwer AD w sieci lokalnej, prosty serwer proxy TCP lub odpowiednie reguły iptables będą znacznie prostsze niż pełnowartościowy serwer proxy LDAP. Wadą tego jest to, że będziesz musiał przeprowadzić kontrolę dostępu po stronie Active Directory.

Jeśli zdecydujesz się na OpenLDAP jako serwer proxy:

• Krok po kroku Instalacja i konfiguracja OpenLDAP jako proxy do Active Directory wydaje się pasować do rachunku z tytułu, ale nie jest zbyt dobra jako przewodnik.

• Dokumentacja Samby zawiera pewne uwagi w tym zakresie.

• Ten artykuł, który napisałem kilka lat temu, jest więcej niż chcesz, ale zawiera kilka przykładów konfiguracji.

Lekkie usługi katalogowe Active Directory wydają się dokładnie tym, czego potrzebujesz - ale jeśli chcesz bezpośrednio uwierzytelniać się w AD, możesz zamiast tego zrobić proxy TCP z powrotem do serwerów AD; HAProxy dobrze by pasowało.