Autenticação do Active Directory com proxy LDAP

9

Temos serviços em uma rede isolada. Esses serviços precisam autenticar os usuários no servidor do Active Directory.

No entanto, o servidor do Active Directory não está diretamente disponível, por isso preciso configurar um proxy LDAP na rede isolada. O proxy LDAP terá acesso ao AD. Observe que o acesso deve ser somente de leitura e esse proxy terá acesso somente a um servidor do AD.

  • Isso é possível / viável?
  • O termo "proxy" é o termo bom?
  • Um servidor do Microsoft AD é obrigatório ou o OpenLDAP fará o trabalho bem?
  • Eu tenho pouco conhecimento sobre AD / LDAP, como é a curva de aprendizado?
  • Algumas dicas por onde começar?

Obrigado.

    
por SamK 14.05.2012 / 14:37

2 respostas

6

Is this possible/feasible?

Isso é factível e comum. Se você procurar por algo como o diretório ativo do proxy do openldap você encontrará vários recursos úteis resultados.

Is the term "proxy" the good term?

Este é absolutamente o termo correto a ser usado.

Is A Microsoft AD server mandatory or OpenLDAP will do the job fine?

Se seus clientes estiverem esperando apenas um servidor LDAP, o OpenLDAP fique bem, especialmente se você precisar apenas de acesso somente leitura.

I have few knowledge about AD/LDAP, how is the learning curve?

Sem conhecer o histórico, é uma pergunta difícil de responder. Eu achar que o LDAP é fundamentalmente simples, mas envolvendo sua cabeça controle de acesso no OpenLDAP pode levar um pouco de trabalho.

A few hints where to begin?

Se tudo o que você precisa fazer é disponibilizar o servidor do AD em sua rede local, em seguida, um proxy TCP simples ou regras apropriadas iptables será muito mais simples que um proxy LDAP completo. A desvantagem de isso é que você precisaria executar qualquer controle de acesso no Lado do Active Directory das coisas.

Se você decidir usar o OpenLDAP como proxy:

por 17.01.2014 / 02:23
1

Serviços de diretório leve do Active Directory parece exatamente o que você precisa - mas se você quiser autenticar diretamente contra o AD, você poderia simplesmente fazer um proxy TCP de volta para seus servidores AD; HAProxy seria uma boa opção.

    
por 14.05.2012 / 23:55