Сценарий: мне нужно опубликовать внутреннюю Active Directory на платформах SaaS через общедоступный Интернет. Я собираюсь использовать OpenLDAP для фильтрации доступа. Доступ к OpenLDAP будет ограничен белым списком IP-адресов брандмауэра.
Мне удалось настроить OpenLDAP, чтобы разрешить доступ только к необходимым объектам (группы и учетные записи, необходимые для платформы SaaS, только обязательные атрибуты).
Однако я не могу понять, могу ли я ограничить, какая учетная запись может аутентифицироваться для прокси. Пока может быть привязана любая учетная запись в Active Directory. Я не полностью доверяю платформам SaaS и хотел бы ограничить возможные атаки по подбору пароля через платформы SaaS. Я пробовал следующий синтаксис, но привязать может любой:
access to dn.exact="objectDN"
by * auth
access to *
by * none
Есть ли способ ограничить учетные записи, которым разрешена аутентификация?