我们将在 DMZ 中的服务器上托管一个 Web 应用。此服务器不是域成员。用户有现有的 AD 帐户。我如何根据 AD 验证此 Web 应用的用户身份?
谢谢!
答案1
Denny 先生的回答很有道理。然而,还有第三个有时更为有力的解决方案:
设置 ADFS,使用 AD 作为用户支持存储库来处理应用程序的单点登录和身份验证。这具有可扩展性,可以支持任何未来的应用程序,并为具有联合代理服务器的远程用户提供安全的环境,以及仍将使用标准集成身份验证的内部联合服务器。
ADFS 是更具扩展性的解决方案,但需要在管理员和开发人员层面上做更多工作来设置和构建集成。幸运的是,使用 Windows Identity Foundation SDK 设置应用程序非常简单。
答案2
你有两个选择。
- 设置您的应用程序以直接读取 LDAP 数据库。这将要求 Web 服务器和域控制器之间的防火墙上有一个漏洞。
- 在 DMZ 中安装 RODC(只读域控制器)并将机器添加到域中。这将要求 RODC 在防火墙上打开一个通往其他 DC 的漏洞。