我有一个面向互联网的应用服务器,我想使用 AD 身份验证。这是我第一次为非 MS 应用程序或不使用某种代理执行此操作。我已经在脑海中想好了如何执行此操作。我想确保我没有错过明显的安全漏洞。
我目前的想法是让互联网流量转到 DMZ Web 应用服务器,只允许 HTTPS/443 流量并拒绝所有其他流量,包括传出流量(不包括 LDAPS)。
DMZ 内部有一个只读域控制器,它将拒绝除 LDAPS 所需的流量和 RODC 所需的端口之外的所有进出流量(基于 MS RODC DMZ 最佳实践)。RODC 不会有任何直接的互联网流量。
内部网络我将有一个常规域控制器。
WebApp 和 RODC 之间的所有通信都将采用 LDAPS。3 个服务器之间的所有 IP 通信都将使用 IPSEC 来验证和加密 IP 流量。
RODC 将被过滤为仅包含用户名数据,不包含密码或其他数据。它将每次按需求查询内部 DC。WebApp 和 RODC 都将是服务器核心安装,没有 GUI。
WebApp ----|IPSEC/LDAPS|--->RODC-----|IPSEC/LDAPS|--->内部 DC
显然,所有服务器都将被锁定,仅允许需要端口的直接 IP 流量,而不允许其他任何流量。
我是否遗漏了什么?