我们正在部署需要用户名/密码login的Web应用程序。 我们还在pipe理支持Web应用程序的基础架构。
我已经研究过,并且无法find与最佳实践相关的任何资源,以确定这些帐户是否应该成为单独的身份validation域的一部分。
我正在寻找任何有关与客户端服务(Web应用程序)和基础架构pipe理具有相同身份validation域相关风险的文档。
我担心的风险是客户端服务身份validation遭到黑客攻击,攻击者可能获得基础架构pipe理员的凭据。 从那里攻击者可以控制整个基础设施,而不仅仅是客户端服务(Web应用程序)。
如果我们有两个不同的身份validation域(没有共享帐户信息),那么这个风险就大大降低了。 是否有任何最佳实践文档说明这一点?
编辑信息不一定是特定于MS AD或LDAP,更一般的关于帐户types/目的的分离。