Servidor Web com acesso a internet e internet Active Directory [closed]

2

Isso pode soar como uma pergunta estúpida e insegura, mas somos delirantes da Web de front-end e não sabemos muito sobre essas coisas. Então aqui vai ..

Estamos criando um aplicativo da web no qual queremos fazer login usando credenciais do Active Directory. Apenas o acesso de leitura, porém, só precisamos fazer logon com credenciais do AD e obter um retorno indicando sucesso ou não.

Eu sei tanto que as senhas no AD são criptografadas, então não podemos ter uma réplica do nome de usuário e senha em nosso banco de dados, sincronizando uma vez por dia. Então, concluímos até agora que uma solução como essa deveria estar dentro da rede do cliente. Então, para que ele acesse o Active Directory E a internet, ele precisa estar dentro de uma zona DMZ?

Ou talvez isso tudo soe estúpido? Como só retiramos o nome de usuário e a senha do AD, não precisamos de mais nada. Então, talvez o ganho extra que o usuário final receba seja que ele não precise se lembrar de uma senha extra ? E isso pode não valer a pena?

Editar: todos os usuários que usam isso já existem no Active Directory. Então, é basicamente uma ferramenta que o departamento de vendas usaria quando viajasse do cliente para o próximo.

Sinta-se à vontade para recusar esta pergunta se parecer extremamente estúpido:)

    
por user216357 14.04.2014 / 12:13

1 resposta

2

Você pode fazer isso de 30 maneiras. Isso nos ajudaria a saber qual SO / linguagem / framework você está usando nos servidores da web - alguns ou muitos deles terão um módulo para fazer alguns ou todos esses métodos.

Você pode usar o LDAP. Você poderia usar o Kerberos. Você poderia usar o NTLM. Inferno, você poderia usar o SMTP se houvesse um Exchange ou outro servidor de correio integrado ao AD que você pudesse consultar - eu vi isso feito.

O servidor da Web pode ser configurado para apontar para um controlador de domínio ou um servidor membro ou um servidor AD LDS (anteriormente, ADAM). Se usar o último, você pode colocá-lo em um DMZ. Você geralmente não quer colocar nenhuma das outras opções em uma DMZ.

O tráfego pode ser criptografado usando uma camada de criptografia específica do protocolo - se usar LDAP, use LDAPS. Se você estivesse usando SMTP, eu diria para usar IPSec ou TLS.

FYI - se você fosse meu fornecedor, eu gostaria de saber que você estava fazendo isso com segurança e que eu não era sua cobaia. Considere contratar alguém que saiba o que está fazendo para essa parte do projeto. Não faça isso e, em seguida, faça com que a rede do cliente seja explorada.

    
por 14.04.2014 / 14:40