Active-Directory

可訪問 Internet 和 Internet Active Directory 的 Web 伺服器

  • April 14, 2014

這聽起來可能是一個愚蠢且不安全的問題,但我們是前端網路開發人員,對這些事情知之甚少。所以這裡..

我們正在創建一個要使用 Active Directory 中的憑據登錄的 Web 應用程序。雖然只有讀取權限,但我們只需要使用 AD 憑據登錄,並獲得一個指示成功與否的回調。

我知道 AD 中的密碼是加密的,所以我們不能在我們的數據庫中擁有使用者名和密碼的副本,每天同步一次左右。所以,到目前為止,我們已經得出結論,這樣的解決方案應該在客戶的網路中。那麼,為了讓它同時訪問 Active Directory 和 Internet,它需要位於 DMZ 區域內嗎?

或者這一切聽起來很愚蠢?因為無論如何我們只從 AD 中提取使用者名和密碼,所以我們不需要其他任何東西。因此,最終使用者獲得的額外收穫可能是他/她不必記住一個額外的密碼?這可能不值得嗎?

編輯:將使用它的所有使用者都已存在於 Active Directory 中。所以它基本上是銷售部門在從客戶到下一個客戶時使用的工具。

如果這聽起來非常愚蠢,請隨意對這個問題投反對票:)

你可以用大約 30 種方法做到這一點。這將有助於我們了解您在 Web 伺服器上使用的作業系統/語言/框架——其中一些或許多將有一個模組來執行部分或全部這些方法。

您可以使用 LDAP。您可以使用 Kerberos。您可以使用 NTLM。地獄,如果有可以查詢的 Exchange 或其他集成 AD 的郵件伺服器,您可以使用 SMTP - 我已經看到了。

Web 伺服器可以配置為指向域控制器、成員伺服器或 AD LDS(以前稱為 ADAM)伺服器。如果使用後者,您可以將其放在 DMZ 中。您通常不希望將任何其他選項放在 DMZ 中。

可以使用特定於協議的加密層對流量進行加密 - 如果使用 LDAP,請改用 LDAPS。如果您使用 SMTP,我會說使用 IPSec 或 TLS。

僅供參考-如果您是我的供應商,我想知道您這樣做是安全的,而且我不是您的豚鼠。考慮僱用一個知道他們在項目的這一部分做什麼的人。不要半途而廢,然後利用客戶的網路。

引用自:https://serverfault.com/questions/588827