我们正在build立一个DMZ,我偶然发现如何处理那些需要端口暴露在互联网上的机器,同时也能够向我们的内部环境提出LDAP请求。 我们有一些Linux应用程序只能通过LDAP请求来validation用户身份。 我不确定是否可以configurationKerboros(还在检查),但是我相信它必须通过直接LDAP查询来完成。
对于需要使用LDAP的机器,您可以推荐使用哪种机制,并且可以同时直接暴露给内部?
提前致谢!
那么,我相信最好的select是在DMZ内build立一个从 LDAP服务器。 主/副本LDAP将更改通过SSL的从LDAP(甚至自签名证书都可以),您的客户端将通过SSL询问从LDAP。
一个“模式”如下:
(后端)主LDAP – >副本LDAP – >(防火墙) – >(DMZ)从LDAP