Como usar com segurança a autenticação do Active Directory (LDAP) corporativo para um site da Web voltado para a Internet? [fechadas]

1

Digamos que você tenha um serviço da web público (Jira no meu caso) usado por usuários da intranet e por usuários externos. O servidor já está configurado para usar HTTPS (seguro).

Como o servidor é acessível de fora, ele está localizado em uma zona DMZ / COLO, fora da sua intranet.

Ainda assim, você quer permitir que todas as pessoas da empresa acessem o site, sem precisar criar contas para elas.

Todos nós sabemos que a autenticação LDAP é a solução, mas o problema é que você ainda precisa acessar o servidor do AD, que está na intranet.

Como de costume, a auditoria de segurança de TI lembra você de " computadores diz que não ", mesmo se você explicar que pode usar LDAPS com segurança para se conectar ao servidor LDAP.

Qual é a solução adequada neste caso, uma que pode ser aceita pela IT Security e que também fornece a funcionalidade desejada?

Mais informações:

A parte engraçada é que da DMZ você pode acessar os serviços HTTPS da intranet, desde que você saiba o IP das máquinas (o DNS interno não está disponível para a DMZ).

A segurança já nos aceitou para vincular a instância externa do Jira à instância interna do Jira via HTTPS, mas o problema é que esse tipo de fallback de autenticação não é escalável com o número de usuários. A Atlassian afirma que você não deve usar esse tipo de autenticação com mais de 1.000 usuários e temos 12000 no LDAP (mesmo que a maioria deles não esteja usando os serviços que ainda estão lá).

    
por sorin 30.08.2012 / 12:59

2 respostas

3

Embora não possamos dizer qual é a solução adequada para você, uma opção seria usar Active Directory LDS (Serviços de Diretório Leve) . É a substituição do ADAM pelo Win2k8.

Confira o link, especificamente a seção sobre como fornecer autenticação de extranet.

O AD LDS permitirá que você importe os usuários internos para o banco de dados do AD LDS para autenticação.

    
por 30.08.2012 / 13:35
1

Meu primeiro pensamento seria ADAM / LDS na DMZ. Outra opção possível para Jira seria um servidor Crowd na rede interna que puxa do Active Directory e apresenta uma interface sobre HTTPS É caro, a menos que você já tenha uma licença.

    
por 30.08.2012 / 15:29