我们有一个运行 Nextcloud 的公共可访问 Debian 服务器,我们的用户应该使用他们的 AD 凭据登录。该服务器位于 DMZ 中,并尽可能地强化,但我有点担心需要允许从 nextcloud 到我们内部网络中的 DC 的 LDAP 查询。用于进行这些查询的帐户仅用于此,没有特殊权限和一个长而复杂的密码。我还能做些什么来强化这一点吗?我考虑过在这个 DMZ 中放置一个 RODC 并仅将所需的帐户同步到此服务器,但我不确定这是否真的有帮助(或者可能使情况变得更糟)。
答案1
如果您担心查询中的对象可见性,Active Directory 具有列表对象模式可以提供此功能。这通常与在多租户场景中拒绝访问用户帐户组进行比较。
答案2
RODC 是一个很好的想法。您还应该设置防火墙访问控制列表,以仅允许来自远程网络上特定 ldap 客户端的 ldap 连接。
对于其余部分,请遵循系统安全最佳实践来保护面向互联网的主机(保持软件更新、监控日志等)。
答案3
一些基础知识:如果尚未启用 LDAPS,请使用 LDAPS;如果可以,请使用证书验证;相信您已经知道不要使用简单绑定。