¿Cuál es la forma más elegante y eficiente de proporcionar AAA a los servicios web utilizando una puerta de enlace WS y LDAP?
https://stackoverflow.com/questions/273652
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy buscando la mejor manera de proporcionar autorización, autenticación y auditoría a los servicios web. Usaré un dispositivo de puerta de enlace de servicio web implementado en la DMZ, y habrá una instancia de LDAP como tienda de usuarios detrás del firewall. ¿Cómo debería construirse?
Saludos
KA
Actualizar Como se señala en una respuesta a continuación, LDAP no es ideal para la auditoría. Ahora estamos viendo una llamada a nuestro sistema CRM para esta función, ya que podemos auditar el uso por parte del cliente.
Solución
La autenticación es bastante estándar. Al intentar verificar un nombre de usuario y contraseña, primero únete como usuario con el privilegio de ver a todos los usuarios, y busca una entrada con el nombre de usuario proporcionado en el campo apropiado (probablemente " uid "). Una vez que haya encontrado la entrada, obtenga su DN e intente vincularla con la contraseña provista.
La autorización generalmente se maneja con " grupos dinámicos " ;, donde tiene un atributo de valores múltiples en cada objeto de usuario que dice qué privilegios tiene el usuario, o usando " grupos estáticos " donde tiene objetos de una clase que se asemejan a "groupOfNames" y pegue los DN de todos los miembros en el "miembro" atributo.
Realiza auditorías como quieras. LDAP probablemente no sea la mejor manera de guardar datos de auditoría. Puede pegarlo en una base de datos si lo desea, o simplemente usar syslog.
