Я знаю, что синхронизация AD и OpenLDAP - распространенная проблема, но после нескольких часов поиска в Google и чтения таких сообщений, как этот и который Я до сих пор не уверен, есть ли хороший (в смысле удобного и безопасного) способ заставить внешнюю службу принимать те же пароли, что и внутренняя AD.
Еще немного о проблеме:
Я отвечаю за ИТ небольшого разработчика программного обеспечения. компании, а в последнее время все больше и больше услуг (управление проектами, обмен файлами и т. д.) должны быть доступны клиентам, фрилансерам и сотрудникам за пределами нашей сети. Пока все эти службы имеют свои собственные учетные записи пользователей и пароли, и это становится утомительно и подвержено ошибкам.
Моя идея заключалась в том, чтобы установить сервер OpenLDAP, доступный для всех служб и действующий как центральный пользовательский репозиторий. Мне не хватает способа подтолкнуть некоторые наших внутренних учетных записей пользователей на этом сервере, чтобы эти пользователи могли использовать внешние службы.
Мне не нравится идея сделать наш DC доступным из Интернета.
Итак, в основном у меня есть два вопроса:
Я иду правильным путем? Или это не удастся просто потому, что я пропустил некоторые моменты?
Как я могу добиться такого результата? Исходя из опыта разработки, я думал о написании небольшого приложения / сценария, который перечисляет всех внутренних пользователей и позволяет мне выбирать, какие из них имеют доступ к какой службе, но как я буду обрабатывать изменения пароля?
Мы делаем это по-другому. Мы создали поддомен нашего AD (ext.ourco.com) и выделили его для внешних клиентов и т. Д. Поскольку это полностью доверенный домен, мы можем предоставить нашим пользователям доступ к тем же ресурсам без перемещения / копирования их учетных записей в DMZ.
Для дальнейшей защиты AD мы использовали прокси-сервер для маршрутизации трафика для определенных приложений в корпоративную сеть, а не для их размещения в DMZ. Но вы можете реализовать это с помощью DC (или DC только для чтения) в DMZ.