هل من المنطقي إقامة علاقة موثوقة بين مثيلات Active Directory في الشركات الشريكة؟
https://stackoverflow.com/questions/273496
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
إذا كانت الشركة تطلب غالبًا إنشاء مستخدمين في الدليل النشط الخاص بالشريك، والعكس صحيح، فهل من المنطقي إعداد علاقة اتحادية/موثوقة بين مثيلات AD؟إذا كان الأمر كذلك، ما الذي ينبغي النظر فيه؟هل لا تزال قائمة التحكم بالوصول (ACL) للمستخدمين في إعلان الشريك تعمل بنفس الطريقة؟ما هي المخاطر الأمنية التي يكشفها هذا؟
شكرًا!
كا
تحديث:
لقد تعلمت أن هناك طريقة أفضل للقيام بذلك من خلال جعل التطبيق نفسه يتحقق من متاجر المستخدم.أفضل طريقة للقيام بذلك هي نقل التطبيق إلى مجال موثوق به من قبل متجري المستخدمين.لقد قدمت المزيد من التفاصيل في إجابتي أدناه.
المحلول
نعم، من المنطقي إذا كنت تريد أن يكون كلاهما قادرًا على مصادقة الأشخاص عبر مجالات متعددة.يجب عليك وضع الخادم الذي يحتوي على التطبيق الذي تستهدفه في مجال موثوق به من قبل كل مثيل AD تريد استخدامه للمصادقة.
نصائح أخرى
لقد بحثت في هذا الأمر أكثر قليلاً، ووجدت حلاً جيدًا.نظرًا لأن كلتا الشركتين تحتاجان إلى استخدام نفس النظام، فإن النظام نفسه يحتاج فقط إلى التحقق مما إذا كان المستخدم موجودًا في أي من متاجر المستخدمين (المصادقة)، ثم إلى التفويض على مستوى النظام.
إن الفكرة وراء منح كلا الشركتين حق الوصول فكرة قوية - إذا كنا نعمل معًا ولم تكن لدينا طريقة للقيام بذلك، فسنحتاج إلى إعادة إنشاء جميع المستخدمين من الشركة دون الوصول إلى متجر المستخدم المتصل.من الواضح أن هذا سيكون فوضى عارمة وكابوسًا للصيانة.
لقد اكتشفت أنه في حالتي، على الرغم من وجود كلا الإعلانين على نفس شبكة WAN، فمن الضروري أن يكون هناك اتحاد رسمي أو ثقة.ولحسن الحظ، لدينا بالفعل نطاق موثوق به بين الشركتين، لذلك يتعين علي فقط نقل التطبيقات التي يستخدمها الشركاء إلى هذا النطاق.بعد ذلك، يتعلق الأمر ببساطة بالتأهيل الكامل للاحقة DNS للإشارة إلى AD المستخدم.تشير قوائم ACL الخاصة بالتطبيقات بعد ذلك إلى متجر المستخدم المطلوب.
