这可能听起来像一个愚蠢的和不安全的问题,但我们是前端网页delopers,并不知道这些事情太多。 所以这里..
我们正在创build一个Web应用程序,我们要使用Active Directory中的凭据login。 虽然只读访问权限,但我们只需要使用AD凭据login,并获得指示是否成功的callback。
我知道AD中的密码是encryption的,所以我们不能在我们的数据库中有一个用户名和密码的副本,每天同步一次。 所以,我们已经得出结论,像这样的解决scheme应该在客户的networking内部。 那么,为了能够访问Active Directory和互联网,它需要在DMZ区域内?
或者,也许这一切听起来很愚蠢? 因为我们只是从AD中提取用户名和密码,所以我们不需要任何东西。 所以最终用户得到的额外收益也许是他/她不必记住一个额外的密码? 这可能不值得吗?
编辑:将使用此的所有用户已存在Active Directory中。 所以它基本上是销售部门在从客户到下一个客户时使用的工具。
随意downvote这个问题,如果它听起来非常愚蠢:)
你可以通过30种方式来做到这一点。 这将有助于我们了解您在Web服务器上使用的操作系统/语言/框架 – 其中一些或许多将有一个模块来完成这些方法中的一部分或全部。
你可以使用LDAP。 你可以使用Kerberos。 你可以使用NTLM。 地狱,你可以使用SMTP,如果有一个Exchange或其他AD集成的邮件服务器,你可以查询 – 我已经看到了这一点。
Web服务器可以configuration为指向域控制器,成员服务器或AD LDS(以前称为ADAM)服务器。 如果使用后者,你可以把它放在DMZ中。 你通常不会把任何其他选项放在DMZ中。
stream量可以使用协议特定的encryption层进行encryption – 如果使用LDAP,请改为使用LDAPS。 如果您使用SMTP,我会说使用IPSec或TLS。
供参考 – 如果你是我的供应商,我想知道你是安全地做这个,我不是你的试验品。 考虑聘请一个知道他们为这个项目的这个部分做些什么的人。 不要半屁半响,然后让客户的networking被利用。