Назад | Перейти на главную страницу

Разрешение аутентификации LDAP из DMZ в Active Directory. Безопасна ли моя идея?

У меня есть сервер приложений с выходом в Интернет, на котором я хочу использовать аутентификацию AD. Я впервые делаю это для приложения без MS или без какого-либо прокси. У меня уже есть идея, как это сделать. Я хотел убедиться, что не пропустил очевидную дыру в безопасности.

Моя текущая идея состоит в том, чтобы Интернет-трафик направлялся на сервер веб-приложений DMZ, разрешающий только трафик HTTPS / 443 и запрещающий все остальные, включая исходящий трафик (не включая LDAPS).

Внутри DMZ есть контроллер домена только для чтения, который будет запрещать весь входящий-исходящий трафик, кроме необходимого для LDAPS и портов, необходимых для RODC (на основе передовых практик MS RODC DMZ). RODC не будет иметь прямого интернет-трафика.

Внутренняя сеть у меня будет штатный контроллер домена.

Вся связь между WebApp и RODC будет LDAPS. Вся IP-связь между 3 серверами будет использовать IPSEC для аутентификации и шифрования IP-трафика.

Контроллер домена только для чтения будет отфильтрован, чтобы содержать только данные об имени пользователя, без пароля или других данных. Он будет запрашивать внутренний DC каждый раз по запросу. И WebApp, и RODC будут установкой Server Core без графического интерфейса.

WebApp ---- | IPSEC / LDAPS | ---> RODC ----- | IPSEC / LDAPS | ---> Внутренний DC

Очевидно, что весь сервер будет заблокирован, чтобы разрешить только прямой IP-трафик с нужным портом и ничего больше.

Я что-то упускаю?