У нас есть сервисы в изолированной сети. Эти службы должны аутентифицировать пользователей на сервере Active Directory.
Однако сервер Active Directory недоступен напрямую, поэтому мне нужно настроить прокси LDAP в изолированной сети. После этого прокси LDAP получит доступ к AD. Обратите внимание, что доступ должен только для чтения, и этот прокси будет иметь доступ только к один Сервер AD.
Спасибо.
Возможно ли это?
Это возможно и часто. Если вы ищете что-то вроде активный каталог прокси openldap вы найдете ряд полезных результатов.
Подходит ли термин «прокси»?
Это абсолютно правильный термин.
Обязателен ли сервер Microsoft AD или OpenLDAP справится с этой задачей?
Если ваши клиенты ожидают только сервер LDAP, тогда OpenLDAP будет в порядке, особенно если вам нужен только доступ только для чтения.
Я мало что знаю об AD / LDAP, как мне нужно учиться?
Не зная своего прошлого, на этот вопрос сложно ответить. Я считаю, что LDAP принципиально прост, но для понимания управления доступом в OpenLDAP может потребоваться небольшая работа.
Несколько советов, с чего начать?
Если все, что вам нужно сделать, это сделать сервер AD доступным в вашей локальной сети, тогда простой прокси TCP или соответствующие правила iptables будут намного проще, чем полномасштабный прокси LDAP. Обратной стороной этого является то, что вам нужно будет выполнять любой контроль доступа на стороне Active Directory.
Если вы решите использовать OpenLDAP в качестве прокси:
Пошаговая установка и настройка OpenLDAP в качестве прокси для Active Directory кажется, отвечает всем требованиям из названия, но не очень хорош в качестве ориентира.
В Документация по Samba есть несколько примечаний по этому поводу.
Эта статья Я написал несколько лет назад, это больше, чем вы хотите, но есть несколько примеров конфигурации.
Службы Active Directory облегченного доступа к каталогам похоже, именно то, что вам нужно, но если вы хотите напрямую аутентифицироваться в AD, вы можете вместо этого просто сделать TCP-прокси обратно на свои серверы AD; HAProxy подойдет.