Active Directory-Authentifizierung mit LDAP-Proxy

Wir haben einen Dienst in einem isolierten Netzwerk. Diese Dienste müssen Benutzer beim Active Directory-Server authentifizieren.

Der Active Directory-Server ist jedoch nicht direkt verfügbar, sodass ich einen LDAP-Proxy im isolierten Netzwerk einrichten muss. Der LDAP-Proxy hat dann Zugriff auf den AD. Beachten Sie, dass der Zugriff schreibgeschützt sein muss und dieser Proxy nur auf einen AD-Server zugreifen kann.

• Ist das möglich / machbar?
• Ist der Begriff "Proxy" der gute Begriff?
• Ist ein Microsoft AD-Server obligatorisch oder erledigt OpenLDAP die Aufgabe einwandfrei?
• Ich habe nur wenige Kenntnisse über AD / LDAP. Wie ist die Lernkurve?
• Ein paar Tipps, wo ich anfangen soll?

Vielen Dank.

Ist das möglich / machbar?

Dies ist sowohl machbar als auch üblich. Wenn Sie nach etwas wie openldap proxy active directory suchen, finden Sie eine Reihe nützlicher Ergebnisse.

Ist der Begriff "Proxy" der gute Begriff?

Dies ist absolut der richtige Begriff.

Ist ein Microsoft AD-Server obligatorisch oder erledigt OpenLDAP die Aufgabe einwandfrei?

Wenn Ihre Clients nur einen LDAP-Server erwarten, ist OpenLDAP in Ordnung, insbesondere wenn Sie nur Lesezugriff benötigen.

Ich habe nur wenige Kenntnisse über AD / LDAP. Wie ist die Lernkurve?

Ohne Ihren Hintergrund zu kennen, ist diese Frage schwer zu beantworten. Ich finde, dass LDAP grundsätzlich einfach ist, aber es kann ein wenig Arbeit kosten, sich mit der Zugriffskontrolle in OpenLDAP zu beschäftigen.

Ein paar Tipps, wo ich anfangen soll?

Wenn Sie lediglich den AD-Server in Ihrem lokalen Netzwerk verfügbar machen müssen, ist ein einfacher TCP-Proxy oder entsprechende iptables-Regeln viel einfacher als ein vollständiger LDAP-Proxy. Der Nachteil dabei ist, dass Sie eine Zugriffssteuerung auf der Active Directory-Seite durchführen müssen.

Wenn Sie sich für OpenLDAP als Proxy entscheiden:

• Die schrittweise Installation und Konfiguration von OpenLDAP als Proxy für Active Directory scheint der Rechnung des Titels zu entsprechen, ist jedoch als Leitfaden nicht sehr gut.

• Die Samba-Dokumentation enthält einige Hinweise in dieser Richtung.

• Dieser Artikel, den ich vor einigen Jahren geschrieben habe, ist mehr als Sie möchten, enthält jedoch einige Konfigurationsbeispiele.

Active Directory Lightweight Directory Services scheint genau das zu sein, was Sie benötigen. Wenn Sie sich jedoch direkt bei AD authentifizieren möchten, können Sie stattdessen einfach einen TCP-Proxy für Ihre AD-Server durchführen. HAProxy würde gut passen.