我知道,同步AD和OpenLDAP是一个常见的问题,但经过几个小时的谷歌search和阅读这样的post,我仍然不确定是否有一个良好的(在方便和安全的意义上)的方式来接受外部服务与内部AD相同的密码。
关于这个问题的更多背景:
我负责一个小软件开发人员的IT工作。 公司和最近越来越多的服务(项目pipe理,文件共享等)需要由我们networking之外的客户,自由职业者和员工访问。 到目前为止,所有这些服务都有自己的用户帐号和密码,这样就变得单调乏味,容易出错。
我的想法是build立一个所有服务都可以访问的OpenLDAP服务器,并作为中央用户存储库。 我缺乏的是将我们的一些内部用户帐户推送到这台服务器,以便这些用户可以使用外部服务。
我不喜欢让我们的DC从互联网上到达的想法。
所以基本上我有两个问题:
我正确的方式? 或者这是否会因为我错过了一些要点而失败?
我怎么能做到这样的事情? 从开发背景来看,我正在考虑编写一个列出所有内部用户的小应用程序/脚本,并让我select哪些服务可以访问哪些服务,但是我将如何处理密码更改?
我们以不同的方式做到这一点。 我们创build了AD(ext.ourco.com)的一个子域名,专门用于外部客户等。 由于它是一个完全信任的域,我们可以授予我们的用户访问相同的资源,而无需将他们的帐户移动/复制到DMZ中。
为了进一步保护AD,我们使用代理将特定应用的stream量路由到公司networking,而不是将其托pipe在DMZ中。 但是您可以在DMZ中使用DC(或只读DC)来实现它。