访问internet和internet的Web服务器

Question

这听起来可能是一个愚蠢和不安全的问题，但我们是前端的网络欺骗者，对这些事情不太了解。所以就这样..。

我们正在创建一个web应用程序，在那里我们希望使用Active Directory的凭据登录。不过，我们只需要读取访问权限，只需要使用AD凭据登录，并获得一个指示成功与否的回调。

我知道AD中的密码是加密的，所以我们不能在数据库中复制用户名和密码，每天同步一次。因此，到目前为止，我们已经得出结论，这样的解决方案应该在客户的网络中。那么，为了让它同时访问Active Directory和internet，它需要在DMZ区域内吗？

或者这一切听起来都很愚蠢？因为我们只从AD中提取用户名和密码，所以我们不需要其他任何东西。因此，最终用户获得的额外收益可能是他/她不需要记住一个额外的密码？这可能不值得吗？

编辑:使用此功能的所有用户都已存在于中。因此，这基本上是销售部门在从客户到下一个客户旅行时使用的工具。

如果这个问题听起来非常愚蠢，不妨否决它:)

Answer 1

你可以用大约30种方法来做。它将帮助我们了解您在web服务器上使用的OS/language/framework --其中一些或许多服务器将有一个模块来执行部分或全部这些方法。

你可以用LDAP。你可以用Kerberos。你可以用NTLM。见鬼，如果有一个Exchange或其他集成AD的邮件服务器可以查询，你可以使用SMTP -我看过了。

可以将web服务器配置为指向域控制器、成员服务器或ADAM(以前为ADAM)服务器。如果使用后者，则可以将其放入DMZ中。您通常不希望在DMZ中放置任何其他选项。

通信可以使用特定于协议的加密层加密，如果使用LDAP，则使用LDAPS。如果您使用SMTP，我建议您使用IPSec或TLS。

如果你是我的卖主，我想知道你这样做是安全的，我不是你的小白鼠。考虑雇佣一个知道他们在这个项目的这一部分做什么的人。不要半途而废，然后利用客户的网络。