Quel est le moyen le plus élégant et le plus efficace de fournir AAA aux services Web utilisant une passerelle WS et LDAP?
https://stackoverflow.com/questions/273652
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je recherche le meilleur moyen de fournir une autorisation, une authentification et un audit aux services Web. J'utiliserai une appliance de passerelle de service Web déployée sur la zone démilitarisée et il y aura une instance LDAP en tant que magasin d'utilisateurs derrière le pare-feu. Comment devrait-il être construit?
Cheers
KA
Mettre à jour Comme indiqué dans la réponse ci-dessous, LDAP n'est pas idéal pour l'audit. Nous examinons maintenant un appel à notre système de gestion de la relation client pour cette fonction, car nous pouvons en vérifier l’utilisation par le client.
La solution
L’authentification est assez standard. Lorsque vous essayez de vérifier un nom d'utilisateur et un mot de passe, commencez par vous connecter en tant qu'utilisateur avec le privilège de voir tous les utilisateurs, puis recherchez une entrée avec le nom d'utilisateur fourni dans le champ approprié (probablement "uid"). Une fois que vous avez trouvé l'entrée, obtenez son DN et essayez de la lier en utilisant le mot de passe fourni.
L'autorisation est généralement gérée avec "Groupes dynamiques", où vous avez un attribut à valeurs multiples dans chaque objet utilisateur indiquant les privilèges dont dispose l'utilisateur, ou en utilisant des "groupes statiques". où vous avez des objets d'une classe ressemblant à " groupOfNames " et coller les NA de tous les membres dans le champ "membre". attribut.
Auditez comme bon vous semble. LDAP n'est probablement pas le meilleur moyen de sauvegarder les données d'audit. Vous pouvez le coller dans une base de données si vous le souhaitez ou simplement utiliser syslog.
