Autenticação perfeita para usuários corporativos em um site externo

Navegue suas respostas
3

Histórico:

Empresa global com vários locais e redes e sistemas de TI diferentes. A maioria das redes é baseada no Windows e executa o Active Directory e algumas estão conectadas via ADFS. Alguns são redes MAC puras. Um local não tem uma rede ou um controlador de domínio.

Um site externo hospedado em um ambiente LAMP (Centos 6, Apache 2.2, MySQL 5.1, PHP 5.3) atua como a intranet da empresa. Atualmente, os usuários precisam fazer login na intranet com um conjunto diferente de credenciais em sua conta de domínio.

Cenário:

A equipe da Web deseja permitir que os usuários aproveitem a autenticação contínua para não precisar fazer login na intranet ao acessar de dentro de qualquer rede corporativa, mas também para permitir que usem suas credenciais de domínio ao acessarem o site de casa ou fora do escritório.

Outros usuários continuarão a ter um nome de usuário e senha separados.

Para consideração:

  • Os usuários têm a opção de navegadores
  • O suporte de TI da empresa no Reino Unido é somente para Windows
  • A equipe da Web é baseada em LAMP com conhecimento mínimo do IIS
  • Se for bem sucedido no Reino Unido, o sistema será estendido a todos os outros países
  • Outro projeto está em andamento para conectar todas as redes do Windows dentro da empresa usando o ADFS, mas isso não será concluído por seis meses.

Eu passei pelo fórum e encontrei várias postagens e respostas que me pegaram do caminho, mas ainda me deixaram algumas perguntas, sendo a principal delas: Podemos conseguir uma autenticação perfeita para usuários corporativos em um site externo?

Algumas das postagens que revi

Para quem se deparar com este post, fizemos o seguinte:

  1. Crie um túnel VPN entre o servidor da web e um controlador de domínio na floresta do AD
  2. Arquivo / etc / hosts editado para adicionar mapeamentos para cada domínio kdc na floresta
  3. Editou o /etc/krb5.conf para especificar os territórios e seus kdcs e adicionou mapeamentos de domínio para cada
  4. Arquivo host virtual editado para o site adicionar um local (você pode usar um bloco de diretório) exigindo a autenticação do kerberos.
  5. Adicionada uma lista separada por espaços de todas as regiões ao bloco de localização
  6. Arquivos keytab gerados para cada domínio e instalados no servidor Linux

Provavelmente não é ideal, mas funciona.

Configure uma VPN entre o servidor da web

    
por Jameel 16.07.2013 / 11:52

1 resposta

1

resposta simples é sim, pode ser alcançado.

Eu editei a pergunta com as etapas que realizamos para obter a autenticação perfeita. Eu deixei de fora a configuração do túnel VPN, pois isso não fazia parte do meu mandato, mas basicamente você precisa permitir o tráfego bidirecional TCP / UDP nas portas 88 e 750 para kerberos.

    
por 13.05.2014 / 12:00

Tags

fail2ban não pode proibir ip em todas as portas se já estiver banido por porta específica Evite spammers que baixam conteúdo para usar largura de banda