Мне интересно узнать о LDAP, который я не очень хорошо знаю.
Чтобы снизить риск серьезного взлома в случае взлома, я хотел бы использовать два разных пароля для учетной записи LDAP: пароль для подключения к веб-бэк-офису и пароль для VPN с тем же именем пользователя. Таким образом, если кто-то взломает веб-сервер и сохранит логины и пароли, используемые для подключения, они не смогут войти в сеть, потому что пароль VPN будет другим. Позволяет ли LDAP это сделать?
(PS: я, конечно, буду использовать yubikey и OTP-токен в бэк-офисе и VPN, но, тем не менее, я хотел бы различать пароли).
Спасибо сообществу!
Лучшее решение - иметь отдельные учетные записи пользователей для нескольких служб. С такой настройкой вы можете применять различные политики контроля доступа, которые легче проверять. Убедитесь, что все эти записи учетной записи пользователя связаны с записью человека, чтобы эти учетные записи были надежно отключены на случай, если человек покинет организацию. Также позаботьтесь о лицах, меняющих имена при генерации (нескольких) имен пользователей.
Мой Æ-DIR специально разработан для этого: Все личные записи учетных записей пользователей с классом объекта ] aeUser имеют атрибут aePerson , ссылающийся на запись о человеке, обычно синхронизируемую из базы данных HR (класс объекта aePerson ).
Добавлены различные записи aeUser для человека может располагаться в разных так называемых зонах. Это означает, что администрирование может быть делегировано другому набору так называемых администраторов зоны .
Как автор, я, конечно, пристрастен. Даже если вы не используете Æ-DIR, вы можете позаимствовать некоторые из его идей, которые являются результатом некоторого времени, связанного с этим материалом.
У вас есть разные общие параметры. Какие (если таковые имеются) из них работают, зависит от ваших конкретных обстоятельств.
Если этих вариантов нет, вам не повезло (и вам понадобится два имени пользователя), но в большинстве случаев использование таких вещей, как OTP и Yubikeys, должно быть достаточно безопасным, без необходимости прибегать к нестандартным уловкам, подобным этому, в первую очередь .