Otentikasi Direktori Aktif dengan proksi LDAP

Kami memiliki layanan di jaringan yang terisolasi. Layanan ini perlu mengautentikasi pengguna terhadap server Active Directory.

Namun server Active Directory tidak tersedia secara langsung sehingga saya harus mengatur proxy LDAP di jaringan yang terisolasi. Proxy LDAP kemudian akan memiliki akses ke AD. Perhatikan bahwa akses harus hanya dibaca dan proksi ini hanya memiliki akses ke satu server AD.

• Apakah ini mungkin / layak?
• Apakah istilah "proksi" adalah istilah yang baik?
• Apakah server Microsoft AD wajib atau OpenLDAP akan melakukan pekerjaan dengan baik?
• Saya memiliki sedikit pengetahuan tentang AD / LDAP, bagaimana kurva belajarnya?
• Beberapa petunjuk dari mana harus memulai?

Terima kasih.

Apakah ini mungkin / layak?

Ini layak dan umum. Jika Anda mencari sesuatu seperti direktori aktif proxy openldap Anda akan menemukan sejumlah hasil yang bermanfaat.

Apakah istilah "proksi" adalah istilah yang baik?

Ini benar-benar istilah yang tepat untuk digunakan.

Apakah server Microsoft AD wajib atau OpenLDAP akan melakukan pekerjaan dengan baik?

Jika klien Anda hanya mengharapkan server LDAP maka OpenLDAP akan baik-baik saja, terutama jika Anda hanya perlu akses baca-saja.

Saya memiliki sedikit pengetahuan tentang AD / LDAP, bagaimana kurva belajarnya?

Tanpa mengetahui latar belakang Anda, itu pertanyaan yang sulit dijawab. Saya menemukan bahwa LDAP pada dasarnya sederhana, tetapi membungkus kepala Anda di sekitar kontrol akses di OpenLDAP dapat mengambil sedikit pekerjaan.

Beberapa petunjuk dari mana harus memulai?

Jika semua yang perlu Anda lakukan adalah membuat server AD tersedia dalam jaringan lokal Anda, maka proksi TCP sederhana atau aturan iptables yang sesuai akan jauh lebih sederhana daripada proksi LDAP yang lengkap. Kelemahan dari ini adalah bahwa Anda perlu melakukan kontrol akses di sisi Active Directory.

Jika Anda memutuskan untuk menggunakan OpenLDAP sebagai proxy:

• Langkah demi Langkah Instalasi dan Konfigurasi OpenLDAP sebagai Proxy ke Active Directory tampaknya sesuai dengan tagihan dari judul, tetapi itu tidak terlalu baik sebagai panduan.

• The dokumentasi Samba memiliki beberapa catatan di sepanjang garis-garis ini.

• Artikel yang saya tulis beberapa tahun yang lalu ini lebih dari yang Anda inginkan, tetapi memiliki beberapa contoh konfigurasi.

Active Directory Layanan Direktori Ringan sepertinya persis seperti yang Anda butuhkan - tetapi jika Anda ingin secara langsung mengautentikasi terhadap AD, Anda bisa melakukan proxy TCP kembali ke server AD Anda; HAProxy akan cocok.