Active Directory-Authentifizierung mit LDAP-Proxy


10

Wir haben einen Dienst in einem isolierten Netzwerk. Diese Dienste müssen Benutzer beim Active Directory-Server authentifizieren.

Der Active Directory-Server ist jedoch nicht direkt verfügbar, sodass ich einen LDAP-Proxy im isolierten Netzwerk einrichten muss. Der LDAP-Proxy hat dann Zugriff auf den AD. Beachten Sie, dass der Zugriff schreibgeschützt sein muss und dieser Proxy nur auf einen AD-Server zugreifen kann.

  • Ist das möglich / machbar?
  • Ist der Begriff "Proxy" der gute Begriff?
  • Ist ein Microsoft AD-Server obligatorisch oder erledigt OpenLDAP die Aufgabe einwandfrei?
  • Ich habe nur wenige Kenntnisse über AD / LDAP. Wie ist die Lernkurve?
  • Ein paar Tipps, wo ich anfangen soll?

Vielen Dank.

Antworten:


7

Ist das möglich / machbar?

Dies ist sowohl machbar als auch üblich. Wenn Sie nach etwas wie openldap proxy active directory suchen, finden Sie eine Reihe nützlicher Ergebnisse.

Ist der Begriff "Proxy" der gute Begriff?

Dies ist absolut der richtige Begriff.

Ist ein Microsoft AD-Server obligatorisch oder erledigt OpenLDAP die Aufgabe einwandfrei?

Wenn Ihre Clients nur einen LDAP-Server erwarten, ist OpenLDAP in Ordnung, insbesondere wenn Sie nur Lesezugriff benötigen.

Ich habe nur wenige Kenntnisse über AD / LDAP. Wie ist die Lernkurve?

Ohne Ihren Hintergrund zu kennen, ist diese Frage schwer zu beantworten. Ich finde, dass LDAP grundsätzlich einfach ist, aber es kann ein wenig Arbeit kosten, sich mit der Zugriffskontrolle in OpenLDAP zu beschäftigen.

Ein paar Tipps, wo ich anfangen soll?

Wenn Sie lediglich den AD-Server in Ihrem lokalen Netzwerk verfügbar machen müssen, ist ein einfacher TCP-Proxy oder entsprechende iptables-Regeln viel einfacher als ein vollständiger LDAP-Proxy. Der Nachteil dabei ist, dass Sie eine Zugriffssteuerung auf der Active Directory-Seite durchführen müssen.

Wenn Sie sich für OpenLDAP als Proxy entscheiden:


1

Active Directory Lightweight Directory Services scheint genau das zu sein, was Sie benötigen. Wenn Sie sich jedoch direkt bei AD authentifizieren möchten, können Sie stattdessen einfach einen TCP-Proxy für Ihre AD-Server durchführen. HAProxy würde gut passen.


Erledigen einige iptables-Regeln den gleichen Job wie Sie? debian-administration.org/articles/595
SamK

Eigentlich zwei weitere Regeln: 1. Der Zugriff muss schreibgeschützt sein. 2. Ich habe nur Zugriff auf einen AD-Server.
SamK
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.