我知道同步 AD 和 OpenLDAP 是一个常见问题,但经过几个小时的谷歌搜索和阅读类似帖子后这和那我仍然不确定是否存在一种好的(方便和安全的)方法可以让外部服务接受与内部 AD 相同的密码。
关于该问题的一些背景信息:
我负责一家小型软件开发公司的 IT 工作,最近越来越多的服务(项目管理、文件共享等)需要由客户、自由职业者和员工从我们的网络之外访问。到目前为止,所有这些服务都有自己的用户帐户和密码,处理起来很繁琐,而且容易出错。
我的想法是建立一个 OpenLDAP 服务器,所有服务都可以访问它,并充当中央用户存储库。我缺少的是一种推送一些我们的内部用户帐户迁移到此服务器,以便这些用户可以使用外部服务。
我不喜欢让我们的 DC 可以通过互联网访问的想法。
所以基本上我有两个问题:
我的方法对吗?还是说这会因为我忽略了一些要点而失败?
我该如何实现这样的目标?从开发背景来看,我考虑编写一个小型应用程序/脚本,列出所有内部用户并让我选择哪些用户有权访问哪些服务,但我该如何处理密码更改?
答案1
我们采用不同的方法。我们创建了 AD 的子域 (ext.ourco.com),并将其专用于外部客户等。由于它是一个完全受信任的域,我们可以授予用户访问相同资源的权限,而无需将他们的帐户移动/复制到 DMZ。
为了进一步保护 AD,我们使用代理将特定应用程序的流量路由到公司网络,而不是将它们托管在 DMZ 中。但您可以使用 DMZ 中的 DC(或只读 DC)来实现它。