Мы находимся в процессе настройки DMZ, и я столкнулся с вопросом о том, как обрабатывать машины, которые должны иметь порты, доступные в Интернете, но в то же время иметь возможность отправлять запросы LDAP к нашей внутренней среде. У нас есть несколько приложений Linux, которые работают только путем выполнения запросов LDAP для аутентификации пользователей. Я не уверен, можем ли мы настроить Kerboros или нет (все еще проверяем), но я считаю, что это нужно делать с помощью прямых запросов LDAP.
Что бы вы порекомендовали сделать с машиной, которая требует LDAP и одновременно имеет прямой доступ к внутренней сети?
Заранее спасибо!
Что ж, я считаю, что лучший вариант - настроить раб Сервер LDAP внутри DMZ. Главный / Реплика LDAP будет отправлять изменения в подчиненный LDAP через SSL (даже самозаверяющие сертификаты подходят), и ваши клиенты будут запрашивать через SSL подчиненный LDAP.
«Схема» следующая:
(Back End) Главный LDAP -> Реплика LDAP -> (Брандмауэр) -> (DMZ) Slave LDAP