如何保护从公共系统到我们的 DC 的 LDAP 查询

如何保护从公共系统到我们的 DC 的 LDAP 查询

我们有一个运行 Nextcloud 的公共可访问 Debian 服务器,我们的用户应该使用他们的 AD 凭据登录。该服务器位于 DMZ 中,并尽可能地强化,但我有点担心需要允许从 nextcloud 到我们内部网络中的 DC 的 LDAP 查询。用于进行这些查询的帐户仅用于此,没有特殊权限和一个长而复杂的密码。我还能做些什么来强化这一点吗?我考虑过在这个 DMZ 中放置一个 RODC 并仅将所需的帐户同步到此服务器,但我不确定这是否真的有帮助(或者可能使情况变得更糟)。

答案1

如果您担心查询中的对象可见性,Active Directory 具有列表对象模式可以提供此功能。这通常与在多租户场景中拒绝访问用户帐户组进行比较。

https://social.technet.microsoft.com/wiki/contents/articles/29558.active-directory-controlling-object-visibility-list-object-mode.aspx

答案2

RODC 是一个很好的想法。您还应该设置防火墙访问控制列表,以仅允许来自远程网络上特定 ldap 客户端的 ldap 连接。

对于其余部分,请遵循系统安全最佳实践来保护面向互联网的主机(保持软件更新、监控日志等)。

答案3

一些基础知识:如果尚未启用 LDAPS,请使用 LDAPS;如果可以,请使用证书验证;相信您已经知道不要使用简单绑定。

相关内容