Autenticação do Active Directory com proxy LDAP


10

Temos serviços em uma rede isolada. Esses serviços precisam autenticar usuários no servidor do Active Directory.

No entanto, o servidor do Active Directory não está diretamente disponível, portanto, tenho que configurar um proxy LDAP na rede isolada. O proxy LDAP terá acesso ao AD. Observe que o acesso deve ser somente leitura e esse proxy terá acesso a apenas um servidor AD.

  • Isso é possível / viável?
  • O termo "proxy" é o bom termo?
  • Um servidor Microsoft AD é obrigatório ou o OpenLDAP fará o trabalho corretamente?
  • Eu tenho pouco conhecimento sobre AD / LDAP, como está a curva de aprendizado?
  • Algumas dicas por onde começar?

Obrigado.

Respostas:


7

Isso é possível / viável?

Isso é viável e comum. Se você procurar algo como o diretório ativo do proxy openldap, encontrará vários resultados úteis.

O termo "proxy" é o bom termo?

Este é absolutamente o termo correto a ser usado.

Um servidor Microsoft AD é obrigatório ou o OpenLDAP fará o trabalho corretamente?

Se seus clientes estão esperando apenas um servidor LDAP, o OpenLDAP ficará bem, principalmente se você precisar de acesso somente leitura.

Eu tenho pouco conhecimento sobre AD / LDAP, como está a curva de aprendizado?

Sem conhecer seu histórico, é uma pergunta difícil de responder. Acho que o LDAP é fundamentalmente simples, mas entender o controle de acesso no OpenLDAP pode demorar um pouco.

Algumas dicas por onde começar?

Se tudo o que você precisa fazer é disponibilizar o servidor AD em sua rede local, um proxy TCP simples ou regras apropriadas de tabelas de ip serão muito mais simples que um proxy LDAP completo. A desvantagem disso é que você precisaria executar qualquer controle de acesso no lado do Active Directory.

Se você optar por usar o OpenLDAP como proxy:


1

Os Serviços de Diretório Leve do Active Directory parecem exatamente o que você precisa - mas se você quiser se autenticar diretamente no AD, poderá fazer um proxy TCP de volta aos seus servidores AD; HAProxy seria um bom ajuste.


Algumas regras do iptables fazem o mesmo trabalho que você está descrevendo? debian-administration.org/articles/595
SamK 15/05

Na verdade, existem mais duas regras: 1. o acesso deve ser somente leitura 2. Eu tenho acesso a apenas um servidor AD.
SamK 17/01
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.