Práticas recomendadas para LDAP e DMZ

2

Estamos no processo de configurar uma DMZ e me deparei com a questão de como lidar com máquinas que precisam ter portas expostas à Internet, mas ao mesmo tempo poder fazer solicitações LDAP para nosso ambiente interno. . Temos alguns aplicativos Linux que funcionam apenas fazendo solicitações LDAP para autenticar usuários. Não tenho certeza se podemos configurar o Kerboros ou não (ainda verificando), mas acredito que deve ser feito através de consultas LDAP em linha reta.

O que você recomendaria fazer com uma máquina que exigisse LDAP e ser exposta diretamente ao interno ao mesmo tempo?

Obrigado antecipadamente!

    
por user135409 10.09.2012 / 19:18

1 resposta

0

Bem, acredito que a melhor opção é configurar um servidor LDAP escravo dentro da DMZ. O LDAP do mestre / réplica enviará alterações para o LDAP do escravo por SSL (até mesmo os certificados auto-assinados são bons) e seus clientes solicitarão por SSL o LDAP do escravo.

Um "esquema" é o seguinte:

(Back End)Master LDAP-->Replica LDAP-->(Firewall)-->(DMZ) Slave LDAP

    
por 10.09.2012 / 21:53