我想使用 FreeIPA 实现 LDAP,以实现集中身份验证和安全性(Kerberos)。
问题是我的服务器(Ubuntu)以公有云的形式运行,没有提供私有接口。因此,我唯一的选择是使用公有 IP,但我不确定这是否是一个为服务器和客户端都使用公有 IP 的好主意。
除此之外,我还担心外部服务。外部服务如何访问 REALM?
还想知道用户的情况,我们有两种类型的用户
- 具有各种公共 IP 的外部用户
- 使用一个公有 IP 但使用 NAT 分配私有 IP 的外部用户
我对 LDAP 经验不多,而且它只在私人场合实施。请分享您的建议。我真的很感激。
答案1
是的,您可以允许直接通过互联网访问 Kerberos 和 LDAP。请小心。
Kerberos 被设计用于在不受信任的网络上运行。
仅通过 TLS 运行 LDAP;禁用未加密服务。限制匿名用户可以查询的内容。检查 LDAP 中的数据有多敏感,如果某些 PII 泄露,是否会出现合规性或法律问题?
仅知道用户的 IP 地址并不能算作身份验证。(尽管 IP 地址的可信度可以作为威胁情报。)在这些应用程序中,身份验证是通过强加密实现的。
由于这些服务将通过互联网提供,因此请努力确保其安全。强化服务,不要在此主机上运行任何其他内容。监控、查看失败的登录和防火墙命中,以了解有多少次探测尝试。考虑咨询红队,尝试对您的防御进行模拟攻击。
NAT 一点也不好玩。考虑实施 IPv6,提供双栈,就像互联网服务应该做的那样。
如果您愿意,可以更轻松地允许列出大型连续 IPv6 网络块。空间如此之大,以至于无法进行暴力扫描,由于攻击者需要做更多工作才能找到您,因此噪音更小。这进一步证明了 NAT 并不安全,更改防火墙规则,您的目录将无法再从互联网访问,尽管您拥有“公共”IP 地址。