Аутентифікація Active Directory за допомогою проксі-сервера LDAP

У нас є послуги в ізольованій мережі. Цим службам потрібно автентифікувати користувачів на сервері Active Directory.

Однак сервер Active Directory не доступний безпосередньо, тому мені доведеться встановити LDAP-проксі в ізольованій мережі. Потім проксі-сервер LDAP матиме доступ до AD. Зауважте, що доступ повинен бути лише для читання, і цей проксі-сервер матиме доступ лише до одного сервера AD.

• Це можливо / здійсненно?
• Чи хороший термін "проксі"?
• Чи обов'язковий сервер Microsoft AD або OpenLDAP виконає цю роботу добре?
• Я мало знаю про AD / LDAP, як крива навчання?
• Кілька підказок, з чого почати?

Дякую.

Це можливо / здійсненно?

Це як здійсненне, так і загальне. Якщо ви шукаєте щось на кшталт активного каталогу openldap proxy, ви знайдете ряд корисних результатів.

Чи хороший термін "проксі"?

Це абсолютно правильний термін для використання.

Чи обов'язковий сервер Microsoft AD або OpenLDAP виконає цю роботу добре?

Якщо ваші клієнти очікують тільки сервера LDAP, тоді OpenLDAP буде добре, особливо якщо вам буде потрібен лише доступ лише для читання.

Я мало знаю про AD / LDAP, як крива навчання?

Не знаючи вашого тла, на це важко відповісти. Я вважаю, що LDAP принципово простий, але обернути голову навколо контролю доступу в OpenLDAP може зайняти трохи роботи.

Кілька підказок, з чого почати?

Якщо все, що вам потрібно зробити, це зробити сервер AD доступним у вашій локальній мережі, то простий проксі-сервер TCP або відповідні правила iptables будуть набагато простішими, ніж повноцінний проксі-сервер LDAP. Мінус цього полягає в тому, що вам потрібно буде виконати будь-який контроль доступу на стороні Active Directory.

Якщо ви вирішили перейти з OpenLDAP як проксі:

• Покрокова інсталяція та конфігурація OpenLDAP як проксі до Active Directory, схоже, відповідає законопроекту від заголовка, але це не дуже добре, як посібник.

• Документація Samba в цьому рядку містить деякі примітки.

• Ця стаття, яку я написав кілька років тому, - це більше, ніж ви хочете, але має кілька прикладів конфігурації.

Служби каталогів з легким каталогом Active Directory виглядають як саме те, що вам потрібно, але якщо ви хочете безпосередньо встановити автентифікацію проти AD, ви можете замість цього просто проксі-сервер TCP повернутися на ваші сервери AD; HAProxy був би добре підходить.