我正在尝试整合用户登录并考虑让局域网用户对Active Directory进行身份验证.需要身份验证的服务是Apache,Proftpd和ssh.
在咨询安全团队之后,我已经设置了具有LDAPS代理的身份验证DMZ,该代理又与LAN中的另一个LDAPS代理(proxy2)联系,并且这个通过LDAP(作为LDAP绑定)将身份验证信息传递给AD控制器.仅需要第二个LDAP代理,因为AD服务器拒绝使用我们的安全LDAP实现来讲TLS.
这适用于使用适当模块的Apache.稍后我可能会尝试将客户帐户从服务器移动到LDAP代理,这样它们就不会分散在服务器周围.
对于SSH,我将proxy2加入了Windows域,因此用户可以使用他们的windows凭据登录.然后我创建了ssh密钥并使用ssh-copy将它们复制到DMZ服务器,以便在用户通过身份验证后启用无密码登录.
这是实施这种SSO的好方法吗?我在这里是否遗漏了任何安全问题,或者有更好的方法来实现我的目标?
解决方法 如果您使用PAM作为身份验证堆栈,则可以使用 pam_krb5为您的服务提供 kerberos authentication. Kerberos是开箱即用的设计,用于处理恶意环境,处理代理验证,并且已经是AD规范的一部分.当你能让Kerberos为你做繁重的工作并继续生活时,为什么还要与LDAP斗争?是的,你必须做一些阅读,是的,这需要一点时间,但我已经使用了Curb-to-AD认证多年,并发现它是获得SSO最简单,最快捷的方式当您使用Active Directory作为身份验证后端时,开箱即用.您将遇到的主要问题是Microsoft决定对默认加密类型(它们基本上是自己的加密类型)非常具体,因此您需要设置Kerberos客户端以使用正确的匹配加密类型,或者AD服务器将继续拒绝它.幸运的是,这是一个简单的过程,不需要对krb5.conf进行多次编辑.
现在,有些链接供您考虑……
微软的Kerberos视图
> Kerberos Explained
Meshing Kerberos和Active Directory
> Step-by-Step Guide to Kerberos 5 (krb5 1.0) Interoperability
通过PAM进行ssh和Kerberos身份验证
> A snippet from O’Reilly’s book on SSH
> @L_404_6@
Apache和Kerberos
> mod_auth_kerb via SourceForge
> @L_403_8@
ProFTP和Kerberos
> ProFTPD module mod_gss也通过SourceForge
Microsoft使用Kerberos进行活动的RFC(您真的不想阅读):
> RFC3244 Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols
> RFC4757 The RC4-HMAC Kerberos Encryption Types Used by Microsoft Windows
以上是内存溢出为你收集整理的linux – 在LAN中对AD进行DMZ身份验证的最佳实践全部内容,希望文章能够帮你解决linux – 在LAN中对AD进行DMZ身份验证的最佳实践所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)