我有一个面向互联网的应用程序服务器,我想使用AD身份validation。 这是我第一次做这个没有MS应用程序或没有某种代理。 我脑中已经有了一个想法来说明如何去做。 我想确保我不会错过一个明显的安全漏洞。
我目前的想法是互联网stream量去DMZnetworking应用程序服务器只允许HTTPS / 443stream量和拒绝所有其他,包括传出stream量(不包括LDAPS)。
DMZ内部有一个只读域控制器,除了RODC所需的LDAPS和端口(基于MS RODC DMZ最佳实践)所需的stream量之外,它将拒绝所有input输出。 RODC将不会有任何直接的互联网stream量。
内部networking我将有一个常规的域控制器。
WebApp和RODC之间的所有通信都将是LDAPS。 3台服务器之间的所有IP通信都将使用IPSEC对IPstream量进行身份validation和encryption。
RODC将被过滤为只包含用户名数据,无密码或其他数据。 它将每个需求每次查询内部DC。 WebApp和RODC都将是一个服务器核心安装,没有GUI。
WebApp —- | IPSEC / LDAPS | —> RODC —– | IPSEC / LDAPS | —>内部DC
显然所有的服务器将被locking,只允许直接IPstream量与所需的端口,没有别的。
我错过了什么吗?