Security

阿帕奇內網安全

  • December 17, 2017

目前,我們有一個 Apache 伺服器用作各種內部服務的 Intranet 和反向代理。

我們已經有一個真實的域,並配置了 SSL。

最近我研究了設置 LDAP 身份驗證,要求使用者在獲取任何內部服務的登錄頁面之前使用他們的域憑據進行身份驗證。

雖然我認為這個概念是正確的,並且我確實讓 LDAP 工作,但我很快意識到一旦輸入了這些憑據,瀏覽器就會記憶體該資訊。然後我發現沒有辦法使這些憑據過期。如果在公共 PC 上或什至供在家中使用的員工使用,這會使系統毫無意義,因為這意味著下一個人可能會訪問 Intranet。

還有哪些其他方法可以將系統配置為在提供任何頁面或反向代理之前要求 LDAP 身份驗證,但也能夠在 10-15 分鐘後使它們過期?

我是 Apache 配置的初學者,所以我不知道安全最佳實踐等。我知道我可以進行 IP 過濾器訪問,但是一些家庭使用者沒有靜態 IP,或者可能希望從其他設備(如手機和它)訪問監控和維護基於 IP 的系統太難了。

如何設置身份提供者(例如 Shibboleth)和充當外圍和反向代理的單點登錄登錄頁面?

然後,您將對身份和訪問管理進行更精細的控制,並且還可以通過 3rd 方提供商來實施。

如果您有 Google Apps 域,我認為您也可以使用 Google OAuth。

看看: https ://wiki.shibboleth.net/confluence/display/IDP30/Running+the+IdP+on+Jetty+behind+Apache+httpd

https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPassLoginPage

https://developers.google.com/identity/protocols/OAuth2WebServer

引用自:https://serverfault.com/questions/888505