目前,我们有一个 Apache 服务器,用作各种内部服务的内联网和反向代理。
我们已经有一个真实的域名,并且配置了 SSL。
最近我研究了设置 LDAP 身份验证,以要求用户在获取任何内部服务的登录页面之前使用他们的域凭据进行身份验证。
虽然我认为这个概念是正确的,而且我确实让 LDAP 工作了,但我很快意识到,一旦输入了这些凭据,浏览器就会缓存这些信息。然后我发现没有办法让这些凭据过期。如果在公共 PC 上,甚至供员工在家使用,那么系统就毫无意义了,因为这意味着下一个人可能会访问内联网。
还有哪些其他方法我可以将系统配置为在提供任何页面或反向代理之前要求进行 LDAP 身份验证,但也可以使其在 10-15 分钟后过期?
我是 Apache 配置的初学者,所以我不了解安全最佳实践等。我知道我可以进行 IP 过滤访问,但是一些家庭用户没有静态 IP 或可能希望从其他设备(如手机)访问,监控和维护基于 IP 的系统会太难。
答案1
如何设置一个身份提供者(例如 Shibboleth)和一个充当边界和反向代理的单点登录页面?
然后,您将对身份和访问管理有更精细的控制,并且也可以与第三方提供商一起实施。
我认为您也可以使用 Google OAuth,如果您有 Google Apps 域的话。
看一下: https://wiki.shibboleth.net/confluence/display/IDP30/Running+the+IdP+on+Jetty+behind+Apache+httpd
https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPassLoginPage
https://developers.google.com/identity/protocols/OAuth2WebServer