Estamos no processo de configurar uma DMZ e me deparei com a questão de como lidar com máquinas que precisam ter portas expostas à Internet, mas ao mesmo tempo poder fazer solicitações LDAP para nosso ambiente interno. . Temos alguns aplicativos Linux que funcionam apenas fazendo solicitações LDAP para autenticar usuários. Não tenho certeza se podemos configurar o Kerboros ou não (ainda verificando), mas acredito que deve ser feito através de consultas LDAP em linha reta.
O que você recomendaria fazer com uma máquina que exigisse LDAP e ser exposta diretamente ao interno ao mesmo tempo?
Obrigado antecipadamente!
Bem, acredito que a melhor opção é configurar um servidor LDAP escravo dentro da DMZ. O LDAP do mestre / réplica enviará alterações para o LDAP do escravo por SSL (até mesmo os certificados auto-assinados são bons) e seus clientes solicitarão por SSL o LDAP do escravo.
Um "esquema" é o seguinte:
(Back End)Master LDAP-->Replica LDAP-->(Firewall)-->(DMZ) Slave LDAP