Xác thực thư mục hoạt động với proxy LDAP

Chúng tôi có một dịch vụ trong một mạng bị cô lập. Các dịch vụ này cần xác thực người dùng đối với máy chủ Active Directory.

Tuy nhiên, máy chủ Active Directory không có sẵn trực tiếp nên tôi phải thiết lập proxy LDAP trong mạng bị cô lập. Proxy LDAP sau đó sẽ có quyền truy cập vào AD. Lưu ý rằng quyền truy cập phải được đọc và proxy này sẽ chỉ có quyền truy cập vào một máy chủ AD.

• Điều này có thể / khả thi không?
• Là thuật ngữ "proxy" là thuật ngữ tốt?
• Máy chủ Microsoft AD có bắt buộc hoặc OpenLDAP sẽ hoạt động tốt không?
• Tôi có ít kiến ​​thức về AD / LDAP, đường cong học tập như thế nào?
• Một vài gợi ý bắt đầu từ đâu?

Cảm ơn.

Điều này có thể / khả thi không?

Điều này là khả thi và phổ biến. Nếu bạn tìm kiếm một cái gì đó như thư mục hoạt động proxy openldap, bạn sẽ tìm thấy một số kết quả hữu ích.

Là thuật ngữ "proxy" là thuật ngữ tốt?

Đây hoàn toàn là thuật ngữ chính xác để sử dụng.

Máy chủ Microsoft AD có bắt buộc hoặc OpenLDAP sẽ hoạt động tốt không?

Nếu khách hàng của bạn chỉ mong đợi một máy chủ LDAP thì OpenLDAP sẽ ổn, đặc biệt nếu bạn chỉ cần truy cập chỉ đọc.

Tôi có ít kiến ​​thức về AD / LDAP, đường cong học tập như thế nào?

Không biết nền tảng của bạn đó là một câu hỏi khó trả lời. Tôi thấy rằng LDAP về cơ bản là đơn giản, nhưng việc xoay quanh kiểm soát truy cập trong OpenLDAP có thể mất một chút công việc.

Một vài gợi ý bắt đầu từ đâu?

Nếu tất cả những gì bạn cần làm là làm cho máy chủ AD có sẵn trong mạng cục bộ của bạn, thì một proxy TCP đơn giản hoặc các quy tắc iptables phù hợp sẽ đơn giản hơn nhiều so với proxy LDAP toàn diện. Nhược điểm của điều này là bạn sẽ cần phải thực hiện bất kỳ điều khiển truy cập nào ở phía Active Directory.

Nếu bạn quyết định sử dụng OpenLDAP làm proxy:

• Từng bước cài đặt và cấu hình của OpenLDAP làm Proxy cho Active Directory có vẻ phù hợp với hóa đơn từ tiêu đề, nhưng nó không tốt như hướng dẫn.

• Các tài liệu Samba có một số ghi chú cùng những dòng này.

• Bài viết này tôi đã viết một vài năm trước là nhiều hơn bạn muốn, nhưng có một số ví dụ cấu hình.

Active Directory Dịch vụ thư mục nhẹ có vẻ giống như chính xác những gì bạn cần - nhưng nếu bạn muốn xác thực trực tiếp với AD, thay vào đó, bạn có thể chỉ cần thực hiện một proxy TCP trở lại máy chủ AD của mình; HAProxy sẽ là một phù hợp tốt.