У меня есть сервер приложений с выходом в Интернет, на котором я хочу использовать аутентификацию AD. Я впервые делаю это для приложения без MS или без какого-либо прокси. У меня уже есть идея, как это сделать. Я хотел убедиться, что не пропустил очевидную дыру в безопасности.
Моя текущая идея состоит в том, чтобы Интернет-трафик направлялся на сервер веб-приложений DMZ, разрешающий только трафик HTTPS / 443 и запрещающий все остальные, включая исходящий трафик (не включая LDAPS).
Внутри DMZ есть контроллер домена только для чтения, который будет запрещать весь входящий-исходящий трафик, кроме необходимого для LDAPS и портов, необходимых для RODC (на основе передовых практик MS RODC DMZ). RODC не будет иметь прямого интернет-трафика.
Внутренняя сеть у меня будет штатный контроллер домена.
Вся связь между WebApp и RODC будет LDAPS. Вся IP-связь между 3 серверами будет использовать IPSEC для аутентификации и шифрования IP-трафика.
Контроллер домена только для чтения будет отфильтрован, чтобы содержать только данные об имени пользователя, без пароля или других данных. Он будет запрашивать внутренний DC каждый раз по запросу. И WebApp, и RODC будут установкой Server Core без графического интерфейса.
WebApp ---- | IPSEC / LDAPS | ---> RODC ----- | IPSEC / LDAPS | ---> Внутренний DC
Очевидно, что весь сервер будет заблокирован, чтобы разрешить только прямой IP-трафик с нужным портом и ничего больше.
Я что-то упускаю?