使用WS网关和LDAP为Web服务提供AAA的最优雅,最有效的方法是什么?
https://stackoverflow.com/questions/273652
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我正在寻找为Web服务提供授权,身份验证和审核的最佳方法。我将使用部署到DMZ的Web服务网关设备,并且将有一个LDAP实例作为防火墙后面的用户存储。该如何构建?
干杯
KA
<强>更新 正如下面的答案所指出的,LDAP不适合审计。我们现在正在调查我们的CRM系统,因为我们可以审核客户的使用情况。
解决方案
身份验证是相当标准的。在尝试验证用户名和密码时,首先以具有查看所有用户的权限的用户身份进行绑定,并在相应字段中搜索具有提供的用户名的条目(可能是“uid”)。找到条目后,获取其DN并尝试使用提供的密码绑定为该条目。
授权通常使用“动态组”进行处理,其中每个用户对象中都有一个多值属性,用于说明用户拥有的权限,或者使用“静态组”。你有类似“groupOfNames”类的对象的地方并将所有成员的DN粘贴到“成员”中。属性。
按照您的喜好进行审核。 LDAP可能不是保存审计数据的最佳方法。如果您愿意,可以将其粘贴到数据库中,或者只使用syslog。
不隶属于 StackOverflow
