假设您有一个公共 Web 服务(我这里是 Jira),供内网用户和外部用户使用。服务器已配置为使用 HTTPS(安全)。
由于该服务器可以从外部访问,因此它位于您的内部网之外的 DMZ/COLO 区域。
不过,您确实希望能够允许公司中的所有人员访问该网站,而不必为他们创建帐户。
我们都知道 LDAP 身份验证是解决方案,但问题是您仍然需要能够访问位于内联网上的 AD 服务器。
与往常一样,IT 安全审计会提醒您“计算机说不”,即使你向他们解释你可以安全地使用 LDAPS 连接到 LDAP 服务器。
在这种情况下,什么是正确的解决方案?一个可以被 IT 安全部门接受并且还能提供所需功能的解决方案?
更多信息:
有趣的是,只要您知道机器的 IP,您就可以从 DMZ 访问来自内联网的 HTTPS 服务(内部 DNS 不适用于 DMZ)。
安全部门已经同意我们通过 HTTPS 将外部 Jira 实例链接到内部 Jira 实例,但问题是这种类型的身份验证回退不能随着用户数量的增加而扩展。Atlassian 表示,您不应该对超过 1000 个用户使用这种类型的身份验证,而我们在 LDAP 中有 12000 个用户(即使他们中的大多数没有使用这些服务,他们仍然存在)。
答案1
虽然我们无法告诉你什么是适合你的解决方案,但其中一个选择是使用Active Directory LDS(轻量级目录服务)。它是 ADAM 的 Win2k8 替代品。
查看链接,特别是有关提供外联网身份验证的部分。
AD LDS 将允许您将内部用户导入到 AD LDS 数据库进行身份验证。
答案2
我首先想到的是 DMZ 中的 ADAM / LDS。Jira 的另一个可能选项是人群内部网络上的服务器,从 Active Directory 中提取数据并通过 HTTPS 提供接口。除非您已经拥有许可证,否则价格昂贵。