LDAPおよびDMZ)のベストプラクティス
DMZを設定中ですが、ポートをインターネットに公開する必要があるマシンをどのように処理するかという問題に遭遇しましたが、同時に内部環境へのLDAPリクエスト。ユーザーを認証するためにLDAPリクエストを行うことによってのみ機能するLinuxアプリケーションがいくつかあります。Kerborosを構成できるかどうかはわかりませんが(まだチェック中)、ストレートアップで行う必要があると思います。 LDAPクエリ。
LDAPを必要とし、同時に内部に直接公開されるマシンで何をすることをお勧めしますか?
前もって感謝します!
さて、私は最良のオプションは、DMZ内にスレーブ LDAPサーバーをセットアップすることだと思います。マスター/レプリカLDAPはSSLを介してスレーブLDAPに変更をプッシュし(自己署名証明書でも問題ありません)、クライアントはSSLを介してスレーブLDAPを要求します。
「スキーマ」は次のとおりです。
(バックエンド)マスターLDAP->レプリカLDAP->(ファイアウォール)->(DMZ)スレーブLDAP