Допустим, у вас есть общедоступная веб-служба (в моем случае Jira), которая используется как пользователями интрасети, так и внешними пользователями. Сервер уже настроен на использование HTTPS (безопасный).
Поскольку сервер доступен извне, он расположен в зоне DMZ / COLO за пределами вашей интрасети.
Тем не менее, вы хотите иметь возможность разрешить всем сотрудникам компании доступ к веб-сайту без необходимости создавать для них учетные записи.
Все мы знаем, что LDAP-аутентификация - это решение, но проблема в том, что вам по-прежнему необходимо иметь доступ к серверу AD, который находится в интрасети.
Как обычно, аудит ИТ-безопасности напоминает вам о «компьютеры говорят нет» , даже если вы объясните им, что вы можете безопасно использовать LDAPS для подключения к серверу LDAP.
Каково правильное решение в этом случае, которое может быть принято ИТ-службой безопасности и которое также обеспечивает желаемую функциональность?
Дополнительная информация:
Забавно то, что из DMZ вы можете получить доступ к службам HTTPS из интранет, если вы знаете IP-адреса машин (внутренний DNS недоступен для DMZ).
Служба безопасности уже разрешила нам связать внешний экземпляр Jira с внутренним экземпляром Jira через HTTPS, но проблема в том, что этот тип резервной аутентификации не масштабируется с нашим количеством пользователей.Atlassian заявляет, что вы не должны использовать этот тип аутентификации с более чем 1000 пользователей, а у нас 12000 в LDAP (даже если большинство из них не используют сервисы, которые они все еще используют).
Хотя мы не можем сказать, какое решение подойдет вам, можно было бы использовать Active Directory LDS (облегченные службы каталогов) . Это замена ADAM в Win2k8.
Прочтите ссылку, в частности раздел о предоставлении аутентификации в экстрасети.
AD LDS позволит вам импортировать внутренних пользователей в базу данных AD LDS для аутентификации.