مصادقة PHP/LDAP باستخدام VPN
https://stackoverflow.com/questions/2273993
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدي موقف مثير للاهتمام ، ويبدو أن Google لا تحتوي على أي معلومات تتعلق بهذه المشكلة.
أقوم بتطوير برنامج قائم على الويب مكتوب في PHP. معظم عملائنا لديهم نوع من إعداد خادم CAS للمصادقة ، ونحن ببساطة نوجه موقعنا في خادم المصادقة الخاص بهم. لدينا عميل جديد ليس لديه خادم CAS ، لذلك أخبرتهم أنه يمكننا استخدام LDAP ، ويفضل أن يكون مع SSL (LDAPS). لست متأكدًا مما إذا كان لديهم القدرة على القيام بـ LDAPS ، ولكن المشكلة الحقيقية هي (في الوقت الحالي) أنها تتطلب اتصال LDAP على نفس الشبكة ، وبالتالي ، سأحتاج إلى الاتصال بـ VPN أولاً ، و ثم الاستعلام عن خادم LDAP الخاص بهم.
الآن ، أنا متأكد من أنه يمكنني إجراء اتصال VPN على خادمنا ، وأن يكون كل حركة المرور موجهة من خلال ذلك ، لكن ذلك سيخلق نقطة فشل واحدة لجميع عملائنا وسيكونون خارج سيطرتنا تمامًا ؛ لذلك هذا ليس خيارًا حقًا.
ربما يمكنني العثور على طريقة لإجراء اتصال ، ومصادقة المستخدم ، ثم تحرير الاتصال ؛ لكن هذا يبدو وكأنه خيار سيء سيستغرق وقتًا طويلاً.
لذلك ، هل يعرف أي شخص ما إذا كان بإمكاني (أ) فتح اتصال VPN في فقط PHP ثم استخدم هذا الاتصال للاتصال بخادم LDAP أو (2) بطريقة أو بأخرى رمز PHP/تكوين الخادم الخاص بي بحيث تستخدم فقط الطلبات إلى خادم LDAP استخدام VPN وتستخدم جميع الطلبات الأخرى اتصال الإنترنت الافتراضي؟
أنا في الحقيقة ضائع بعض الشيء فيما يتعلق بالطريقة الجيدة للقيام بذلك ، ستكون أي مساعدة موضع تقدير كبير. شكرا جزيلا!
المحلول
هل يوجد خادم SSH في نهاية العميل؟ إذا كان الأمر كذلك ، فربما يمكنك الترتيب مع العميل لنفق الاتصال إلى خادم SSH في نهايته. يمكنك بعد ذلك أن تطلب من تطبيقك فتح نفق SSH قبل مصادقه مباشرة ، وإغلاقه عند القيام به ، على غرار VPN.
يمكنك القيام بذلك مع VPN اعتمادًا على نظام التشغيل الأساسي. في كلتا الحالتين لن تكون جميلة وسوف تفتقر إلى الأداء. وفي كلتا الحالتين أيضًا ، سيكون النفق متاحًا لجميع التطبيقات على الخادم لاستخدامه أثناء فتحه.
إذا كان هذا أنا ، فسوف أكتب خدمة ويب للقيام بالمصادقة ، وإعداد اتفاق مع العميل لاستضافة هذا لي ، ونقل جميع محاولات المصادقة إلى خدمة الويب. يمكنك إعداد هذا بشكل مثالي لاستخدام HTTPS كذلك.
بناءً على الشبكة التي تم إعدادها بين تطبيقك وعميلك ، ومقدار التحكم لديك على شبكاتك ، قد يتمكن عميلك من توجيه الطلبات من أحد IPS إلى شبكتهم - لقد فعلنا ذلك مرة واحدة مع طرف ثالث . كنا بحاجة إلى الوصول إلى إحدى خدماتهم على شبكة فرعية خاصة ، ولأننا كنا على حد سواء مع مزود خدمة الإنترنت نفسه ، توصلنا إلى اتفاق على أن ISP سيقوم بتكوين التوجيه والحفاظ عليه ، لذلك حصلنا على نفق خاص تمامًا.
