Autenticación de Active Directory con proxy LDAP

10

Tenemos servicios en una red aislada. Estos servicios necesitan autenticar usuarios contra el servidor de Active Directory.

Sin embargo, el servidor de Active Directory no está disponible directamente, por lo que tengo que configurar un proxy LDAP en la red aislada. El proxy LDAP tendrá acceso al AD. Tenga en cuenta que el acceso debe ser de solo lectura y este proxy tendrá acceso a un solo servidor AD.

  • ¿Es esto posible / factible?
  • ¿Es el término "proxy" el buen término?
  • ¿Es obligatorio un servidor Microsoft AD o OpenLDAP hará bien el trabajo?
  • Tengo poco conocimiento sobre AD / LDAP, ¿cómo es la curva de aprendizaje?
  • ¿Algunas pistas por dónde comenzar?

Gracias.

SamK
fuente

Respuestas:

7

¿Es esto posible / factible?

Esto es factible y común. Si busca algo como el directorio activo del proxy openldap , encontrará varios resultados útiles.

¿Es el término "proxy" el buen término?

Este es absolutamente el término correcto para usar.

¿Es obligatorio un servidor Microsoft AD o OpenLDAP hará bien el trabajo?

Si sus clientes solo esperan un servidor LDAP, entonces OpenLDAP estará bien, especialmente si solo necesitará acceso de solo lectura.

Tengo poco conocimiento sobre AD / LDAP, ¿cómo es la curva de aprendizaje?

Sin conocer sus antecedentes, es una pregunta difícil de responder. Creo que LDAP es fundamentalmente simple, pero comprender el control de acceso en OpenLDAP puede tomar un poco de trabajo.

¿Algunas pistas por dónde comenzar?

Si todo lo que necesita hacer es hacer que el servidor AD esté disponible dentro de su red local, entonces un simple proxy TCP o las reglas apropiadas de iptables serán mucho más simples que un proxy LDAP completo. La desventaja de esto es que necesitaría realizar cualquier control de acceso en el lado de Active Directory.

Si decides utilizar OpenLDAP como proxy:

larsks
fuente
1

Active Directory Lightweight Directory Services parece exactamente lo que necesita, pero si desea autenticarse directamente contra AD, en su lugar, simplemente puede hacer que un proxy TCP vuelva a sus servidores AD; HAProxy sería un buen ajuste.

Shane Madden
fuente
¿Algunas reglas de iptables hacen el mismo trabajo que estás describiendo? debian-administration.org/articles/595
SamK
En realidad, hay dos reglas más: 1. el acceso debe ser de solo lectura 2. Tengo acceso a un solo servidor de AD.
SamK