比方说,你有一个内部网用户和外部用户使用的公共Web服务(在我的情况下是Jira)。 服务器已被configuration为使用HTTPS(安全)。
由于服务器可从外部访问,因此它位于Intranet外部的DMZ / COLO区域中。
但是,您确实希望能够让公司所有人员访问网站,而不必为他们创build帐户。
我们都知道LDAP身份validation是解决scheme,但问题是您仍然需要能够访问Intranet上的AD服务器。
像往常一样,IT安全审计会提醒您“计算机说不” ,即使您向他们解释说您可以安全地使用LDAPS连接到LDAP服务器。
在这种情况下,适当的解决scheme是什么?IT安全可以接受哪种解决scheme,并提供所需的function?
更多信息:
有趣的是,只要知道机器的IP(内部DNS不可用于DMZ),就可以从DMZ访问内部网的HTTPS服务。
安全性已经接受我们通过HTTPS将外部Jira实例链接到内部的Jira实例,但问题是这种types的身份validation – 回退不能与我们的用户数量成比例。 Atlassian指出,你不应该对超过1000个用户使用这种types的authentication,而且我们在LDAP中有12000(即使他们大多数没有使用他们仍在那里的服务)。
虽然我们不能说什么是适合您的解决scheme,但一种select是使用Active Directory LDS(轻量级目录服务) 。 这是ADAM的Win2k8替代品。
查看链接,特别是提供Extranet身份validation的部分。
AD LDS将允许您将内部用户导入AD LDS数据库进行身份validation。
我首先想到的是DMZ中的ADAM / LDS。 Jira的另一种可能的select是内部networking上的Crowd服务器,该服务器从Active Directory中提取并通过HTTPS提供接口。 除非你已经有许可证,否则它是很有价值的。