Active-Directory

安全的廣告訪問

  • May 17, 2016

我只是試圖通過 php (ldap) 訪問 Active Directory-Server,以便能夠使用 Windows 憑據進行網站登錄。我在標準 Windows 上使用 xampp 連接到虛擬機中的 Windows Server 2012 R2。現在轉向生產我擔心安全性:

執行 php 的伺服器必須訪問 Windows/AD/LDAP-Server。但是我讀到,讓登錄伺服器可以從外部訪問會產生大量試圖獲取密碼的蠻力攻擊。

仍然有大公司、大學和學校允許您在家中使用工作帳戶登錄。他們如何在不留下大的安全漏洞的情況下做到這一點?除了 PHP/LDAP 之外還有其他選項,他們是否將網路伺服器的 IP 列入白名單(我將如何做到這一點?)或者他們是否在同一台伺服器上執行網路伺服器和 AD(同樣,我將如何做到這一點)?

仍然有大公司、大學和學校允許您在家中使用工作帳戶登錄。他們如何在不留下大的安全漏洞的情況下做到這一點?

有幾種機制允許從 LAN 外部對 Active Directory 進行身份驗證,這些機制相對安全。我從未見過允許目錄服務埠(甚至是只讀 LDAP)通過防火牆的情況。

對 Active Directory 進行遠端身份驗證的一個相當安全的範例是受 Web 應用程序代理 (WAP) 保護的 Active Directory 聯合身份驗證服務 (ADFS)。

由外而內:

  • Internet 和 WAP 伺服器之間存在防火牆或安全設備或上下文,因此僅允許 HTTPS(埠 443)通過 WAP 伺服器。
  • WAP 伺服器在埠 443 接收請求並代理 ADFS 服務(見下文)。外部使用者直接與 WAP 而不是 ADFS 服務進行互動。WAP 伺服器不是域的成員,只能通過 HTTPS 與 ADFS 服務通信。
  • WAP 伺服器(例如在 DMZ 中)和 ADFS 伺服器之間存在另一個防火牆或安全設備或上下文。WAP 伺服器和 ADFS 伺服器之間只允許使用埠 443(或備用埠號)。
  • ADFS 伺服器位於“防火牆內”,僅允許 HTTPS 連接。代理使用者會話通過 SSL 將使用者憑據傳送到 ADFS 伺服器。ADFS 伺服器是域的成員,可以直接與一個或多個域控制器通信。它使用提供的憑據發出身份驗證請求,然後將結果傳遞回原始引用應用程序。

請注意,有問題的 ADFS 伺服器不直接在 Internet 上,也不在 DMZ 中,因此有多層保護。如果 WAP 伺服器受到威脅,則攻擊者還沒有進入該域,他們從那裡進入網路的唯一漏洞是通過埠 443。

沒有什麼是 100% 安全的,但是微軟推薦了這個範例配置(為了它的價值),允許使用者從受保護的 LAN/WAN 外部登錄到 Active Directory 的“聯合”應用程序身份驗證。

還有其他相對安全的方法可以將憑據傳遞到 AD 伺服器並將結果傳回,這只是使用 Microsoft 產品的一個範例。

引用自:https://serverfault.com/questions/777295