我们正在设置 DMZ,我偶然发现了一个问题:如何处理需要将端口暴露给互联网但同时能够向我们的内部环境发出 LDAP 请求的机器。我们有几个 Linux 应用程序只能通过发出 LDAP 请求来验证用户身份。我不确定我们是否可以配置 Kerboros(仍在检查),但我相信必须通过直接的 LDAP 查询来完成。
您建议对需要 LDAP 并同时直接暴露给内部的机器做什么?
提前致谢!
答案1
嗯,我相信最好的选择是建立一个奴隶DMZ 内的 LDAP 服务器。主/副本 LDAP 将通过 SSL 将更改推送到从属 LDAP(甚至自签名证书也可以),并且您的客户端将通过 SSL 询问从属 LDAP。
“模式”如下:
(后端)主 LDAP-->副本 LDAP-->(防火墙)-->(DMZ)从属 LDAP