Mit PHP / LDAP-Authentifizierung eines VPN
https://stackoverflow.com/questions/2273993
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe eine interessante Situation, und Google scheint keine Informationen zu haben, die Frage in Bezug auf.
ich eine Web-basierte Software in PHP geschrieben entwickeln. Die meisten unserer Kunden haben eine Art von CAS-Server-Setup für die Authentifizierung, und wir zeigen Sie einfach unsere Website an ihren Authentifizierungsserver. Wir haben einen neuen Client, der keine CAS-Server vorhanden ist, so dass ich ihnen gesagt, dass wir LDAP verwenden können, vorzugsweise mit SSL (LDAPS). Ich bin mir nicht sicher, ob sie die Fähigkeit zu tun, LDAPS, aber das eigentliche Problem ist, dass (im Moment) sie die LDAP-Verbindung erfordert im selben Netzwerk sein, so würde ich zuerst ihre VPN verbinden muß, und abfragen, ihren LDAP-Server dann.
Nun, ich bin sicher, dass ich die VPN-Verbindung auf unserem Server machen könnte, und haben den gesamten Datenverkehr durch das gerichtet, aber das würde einen Single Point of Failure für alle unsere Kunden schaffen und wäre völlig außerhalb unserer Kontrolle ; so ist dies wirklich keine Option.
Ich könnte wahrscheinlich einen Weg finden, um eine Verbindung herzustellen, authentifiziert den Benutzer, dann die Verbindung; aber das scheint wie eine schlechte Wahl, die eine lange Zeit in Anspruch nehmen würde.
Also, weiß jemand, wenn ich (a) eine VPN-Verbindung öffnen in nur PHP und dann diese Verbindung verwenden, um den LDAP-Server oder (2) irgendwie Code PHP / configure meine Server zu verbinden so dass nur Anfragen an den LDAP-Server verwenden die VPN und alle anderen Anfragen, die Standard-Internetverbindung?
Ich bin wirklich ein bisschen wie auf eine gute Art und Weise verloren, dies zu tun, wäre jede Hilfe sehr dankbar. Vielen Dank!
Lösung
Gibt es einen SSH-Server auf der Client-Seite? Wenn ja, vielleicht könnten Sie mit dem Kunden zu tunneln arrangieren zu einem SSH-Server an ihrem Ende die Verbindung weiter. Sie könnten dann Ihre Anwendung fragen Sie einfach den SSH-Tunnel zu öffnen, bevor sie authentifiziert, und es schließen, wenn es fertig ist, ähnlich wie VPN.
Sie könnten möglicherweise dies mit VPN auf dem zugrunde liegenden Betriebssystem abhängig. So oder so wird nicht schön sein und in der Leistung fehlt gehen werden. Auch so oder so, wird der Tunnel geht für alle Anwendungen auf dem Server zur Verfügung sein, während es geöffnet ist.
Wenn diese nach mir ginge, würde ich eine Webservice schreiben die Authentifizierung zu tun, eine Vereinbarung mit dem Kunden einzurichten dies für mich zu hosten, und Relais alle Authentifizierungsversuche an den Webdienst. Sie würden diese bis der ideale Ort HTTPS als auch zu verwenden.
im Netzwerk zwischen Ihrer Anwendung und Ihren Kunden einrichten Je, und wie viel Kontrolle Sie beide Ihre Netzwerke über, kann Ihr Client, um Anfragen von einem Ihrer IP-Adressen bis hin zu dem Netzwerk in der Lage sein - wir haben dies einmal mit eine dritte Partei. Wir brauchten Zugang zu einem ihrer Dienste auf einem privaten Subnetz, und weil wir beide mit dem gleichen ISP waren erreichten wir eine Vereinbarung, dass der ISP würde konfigurieren und warten die Routing, so dass wir tatsächlich eine völlig privaten Tunnel bekam.
