Autenticazione di Active Directory con proxy LDAP

Abbiamo un servizio in una rete isolata. Questi servizi devono autenticare gli utenti sul server Active Directory.

Tuttavia, il server Active Directory non è direttamente disponibile, quindi devo configurare un proxy LDAP nella rete isolata. Il proxy LDAP avrà quindi accesso all'AD. Si noti che l'accesso deve essere di sola lettura e questo proxy avrà accesso a un solo server AD.

• È possibile / fattibile?
• Il termine "procura" è il buon termine?
• Un server Microsoft AD è obbligatorio o OpenLDAP farà bene il lavoro?
• Ho poche conoscenze su AD / LDAP, come è la curva di apprendimento?
• Qualche suggerimento da dove cominciare?

Grazie.

È possibile / fattibile?

Questo è sia fattibile che comune. Se cerchi qualcosa come la directory attiva proxy openldap troverai una serie di risultati utili.

Il termine "procura" è il buon termine?

Questo è assolutamente il termine corretto da usare.

Un server Microsoft AD è obbligatorio o OpenLDAP farà bene il lavoro?

Se i tuoi clienti si aspettano solo un server LDAP, OpenLDAP andrà bene, in particolare se avrai bisogno solo dell'accesso in sola lettura.

Ho poche conoscenze su AD / LDAP, come è la curva di apprendimento?

Senza conoscere il tuo background è una domanda difficile a cui rispondere. Trovo che LDAP sia fondamentalmente semplice, ma avvolgere la testa attorno al controllo degli accessi in OpenLDAP può richiedere un po 'di lavoro.

Qualche suggerimento da dove cominciare?

Se tutto ciò che devi fare è rendere disponibile il server AD all'interno della tua rete locale, un semplice proxy TCP o le regole iptables appropriate saranno molto più semplici di un proxy LDAP completo. Il rovescio della medaglia di questo è che sarebbe necessario eseguire qualsiasi controllo di accesso sul lato Active Directory delle cose.

Se decidi di utilizzare OpenLDAP come proxy:

• L'installazione e la configurazione passo-passo di OpenLDAP come proxy per Active Directory sembrano adattarsi al conto dal titolo, ma non è molto buono come guida.

• La documentazione di Samba ha alcune note in tal senso.

• Questo articolo che ho scritto qualche anno fa è più di quanto desideri, ma contiene alcuni esempi di configurazione.

I servizi di directory leggera di Active Directory sembrano esattamente ciò di cui hai bisogno, ma se vuoi autenticarti direttamente contro AD, puoi invece fare di nuovo un proxy TCP sui tuoi server AD; HAProxy sarebbe una buona scelta.