Действительно ли обычно приемлемо выставить LDAP в режиме только для чтения к Интернету?
1) Ответ Pl_19 является правильным, но в случае, если Вам нужно более глубокое понимание.
Ключ для создания вычислений с сетевыми блоками должен понять идею масок - / что-то.
Если у Вас будет диапазон адреса x.y.z.t/27 и Вас двоичный файл И диапазон с числом, состоявшим из 27 1's и 0 (32-27), то Вы получите адрес x.y.z.r, который называют Сетевым адресом Вашего диапазона.
Ваш диапазон/27 состоит из 2^ (32-27) = 32 адреса, которые идут от x.y.z.r+0 до x.y.z.r+31. Я отошлю адреса смещением к сетевому адресу.
От этого диапазона Вы не можете использовать адрес '+0', который является сетевым адресом, и эти '+31' назван широковещательным адресом и используется, если Вы хотите отправить пакет на все серверы в Вашем блоке.
Все другие адреса в Вашем блоке считают локальными, и получить их Вам не нужен маршрутизатор по умолчанию.
2) Шлюз по умолчанию должен быть одним из адресов блока (обычно первое или последнее применимое), и поставщик должен предоставить ту информацию Вам. Это будет другим адресом, который Вы не можете использовать.
Это полностью зависит от того, что находится в каталоге LDAP.
Для Active Directory, абсолютно нет, даже для RODC - профиль безопасности этих устройств предназначен для нахождения внутри вашей сети ( Контроллер домена только для чтения специально защищен от физического взлома, поэтому вы можете хранить его в шкафу - физический взлом обычного контроллера домена дал бы злоумышленнику контроль над доменом и хэшами паролей всех пользователей).
Злоумышленник может получить массу информация из AD - имена пользователей для аутентификации, имена систем, некоторая топология сети ... если этого недостаточно для прямой атаки (парольные атаки на другую общедоступную конечную точку, например, VPN?), конечно, достаточно, чтобы собрать надежную социальную инженерная или целенаправленная фишинговая атака.
Нет, это было бы неприемлемо. Не уверен, чего вы пытаетесь достичь, но я бы сказал, что правильный способ - сначала установить соединение VPN, а затем подключиться к LDAP.