在合作伙伴公司的Active Directory实例之间建立信任关系是否有意义?
https://stackoverflow.com/questions/273496
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
如果公司经常要求在合作伙伴的活动目录中创建用户,反之亦然,那么在AD实例之间建立联合/信任关系是否有意义?如果是这样,应该考虑什么?合作伙伴AD中的用户ACL仍然以相同的方式工作吗?这暴露了哪些安全风险?
谢谢!
KA
更新:
通过让应用程序自己检查用户存储,我了解到有更好的方法。执行此操作的最佳方法是将应用程序移动到两个用户存储所信任的域中。我在下面的回答中提供了更多细节。
解决方案
是的,如果您希望两者都能够跨多个域验证人员,那就更有意义了。您必须将具有您要定位的应用程序的服务器放在您要用于身份验证的每个AD实例所信任的域中。
其他提示
我一直在研究这个问题,我找到了一个很好的解决方案。由于两家公司都需要使用相同的系统,因此系统本身只需验证用户是否存在于任一用户存储(验证)中,然后验证系统级别的授权。
为两家公司提供访问权限的想法是可靠的 - 如果我们一起工作但没有办法做到这一点,我们需要重新创建公司的所有用户,而无需在连接的用户存储中访问。显然,这将是一场彻底的混乱和维护的噩梦。
我发现在我的情况下,即使两个AD都在同一个WAN上,也需要有正式的联合或信任。值得庆幸的是,我们已经有一个两家公司都信任的域名,所以我只需要将合作伙伴使用的应用程序移动到这个域名中。在那之后,只需要完全限定DNS后缀以指示正在使用AD。然后,特定于应用程序的ACL将引用所需的用户存储。
不隶属于 StackOverflow
