我对 LDAP 感到疑惑,但我对其不太了解。
为了在遭受黑客攻击时减轻大规模入侵的风险,我想为 LDAP 帐户使用两个不同的密码:一个用于连接到 Web 后台的密码和一个用于 VPN 的密码,并使用相同的用户名。这样,如果有人入侵 Web 服务器并存储用于连接的登录名和密码,他们将无法进入网络,因为 VPN 密码会有所不同。LDAP 允许这样做吗?
(PS:我当然会在后台和 VPN 上使用 yubikey 和 OTP 令牌,但尽管如此,我还是想区分密码)。
感谢社区!
答案1
您有不同的常规选择。其中哪些(如果有的话)有效取决于您的具体情况。
- 您可以为 VPN 和 Web 设置不同的用户(具有相同的用户名,但在不同的 OU 中)。在相应的 OU 中搜索服务。
- 如果您的服务不针对 LDAP 进行身份验证,而是自己比较 PW,则每个记录的架构中可以有两个密码字段。
如果没有这些选项,那你就没那么幸运了(而且需要两个用户名),但在大多数情况下,使用 OTP 和 Yubikeys 之类的东西应该足够安全,而无需首先诉诸像这样的非标准噱头。
答案2
最好的解决方案是为多个服务设置单独的用户帐户条目。通过这样的设置,您可以应用不同的访问控制策略,这些策略可以更轻松地进行审计。确保将所有这些用户帐户条目与人员记录关联,以便在人员离开组织时可靠地禁用帐户。在生成(多个)用户名时,还要注意人员更改姓名。
我的Æ-DIR正是为此而设计的:所有个人的具有对象类的用户帐户条目用户名有一个属性个人引用通常从人力资源数据库同步的人员条目(对象类个人)。
不同之处用户名为一个人添加的条目可以位于不同的所谓区域。这意味着可以将管理委托给不同的所谓区域管理员。
作为作者,我当然有偏见。即使你不使用 Æ-DIR,你也可以借鉴它的一些想法,这些想法是我花了很多时间处理这些东西的结果。