Qual è il modo più elegante ed efficiente per fornire AAA ai servizi Web utilizzando un gateway WS e LDAP?
Domanda
Sto cercando il modo migliore per fornire autorizzazione, autenticazione e controllo ai servizi web. Userò un'appliance di gateway del servizio Web distribuita nella DMZ e ci sarà un'istanza LDAP come archivio utenti dietro il firewall. Come dovrebbe essere costruito?
Saluti
KA
Aggiorna Come indicato in una risposta di seguito, LDAP non è l'ideale per l'auditing. Ora stiamo esaminando una chiamata al nostro sistema CRM per questa funzione in quanto possiamo verificarne l'utilizzo da parte del cliente.
Soluzione
L'autenticazione è abbastanza standard. Quando si tenta di verificare un nome utente e una password, eseguire prima il binding come utente con il privilegio di vedere tutti gli utenti e cercare una voce con il nome utente fornito nel campo appropriato (probabilmente " uid "). Una volta trovata la voce, ottieni il suo DN e prova a associarla a quella voce utilizzando la password fornita.
L'autorizzazione viene generalmente gestita con uno dei "gruppi dinamici", in cui è presente un attributo multivalore in ciascun oggetto utente che indica quali privilegi ha l'utente o utilizzando "gruppi statici". dove hai oggetti di una classe che somigliano a " groupOfNames " e inserire i DN di tutti i membri nel "membro" attributo.
Esegui il controllo come preferisci. LDAP non è probabilmente il modo migliore per salvare i dati di controllo. Se lo desideri, puoi inserirlo in un database o utilizzare semplicemente syslog.