PHP Autenticazione / LDAP Utilizzo di una VPN
https://stackoverflow.com/questions/2273993
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho una situazione interessante, e Google non sembra avere alcuna informazione in merito alla questione.
I sviluppare un software web-based scritto in PHP. La maggior parte dei nostri clienti hanno una sorta di configurazione del server CAS per l'autenticazione, e abbiamo semplicemente puntare il nostro sito al loro server di autenticazione. Abbiamo un nuovo client che non dispone di un server CAS, così ho detto loro che potevamo usare LDAP, preferibilmente con SSL (LDAPS). Non so se hanno la capacità di fare LDAPS, ma il vero problema è che (al momento) di cui hanno bisogno la connessione LDAP di essere sulla stessa rete, in tal modo, avrei bisogno di connettersi al loro VPN prima, e quindi interrogare il loro server LDAP.
Ora, sono sicuro che avrei potuto fare il collegamento di VPN sul nostro server, e hanno tutto il traffico diretto attraverso quella, ma che creerebbe un singolo punto di errore per tutti i nostri clienti e sarebbe del tutto fuori dal nostro controllo ; quindi questo non è davvero un'opzione.
probabilmente potrei trovare un modo per stabilire una connessione, autenticare l'utente, quindi rilasciare il collegamento; ma che sembra una scelta sbagliata che avrebbe preso un lungo periodo di tempo.
Così, qualcuno sa se posso (a) aprire una connessione VPN in solo PHP e quindi utilizzare tale connessione per connettersi al server LDAP o (2) in qualche modo il codice PHP / configurare il mio server in modo che solo le richieste al server LDAP utilizzano il VPN e tutte le altre richieste utilizzano la connessione Internet predefinita?
Sono davvero un po 'perso per un buon modo per fare questo, qualsiasi aiuto sarebbe molto apprezzato. Grazie mille!
Soluzione
C'è un server SSH sul lato client? Se è così, forse si potrebbe concordare con il cliente per la connessione attraverso tunnel a un server SSH alla loro estremità. Si potrebbe quindi chiedere l'applicazione per aprire il tunnel SSH appena prima che l'autenticazione, e chiuderlo quando è fatto, simile a VPN.
Si potrebbe fare questo con VPN a seconda del sistema operativo sottostante. In entrambi i casi non sta per essere abbastanza e andando a mancare in termini di prestazioni. Inoltre in entrambi i casi, il tunnel sarà disponibile per tutte le applicazioni sul server da utilizzare mentre è aperto.
Se questo mi fosse, avrei scritto un webservice per fare l'autenticazione, istituito un accordo con il cliente per ospitare questo per me, e trasmettere tutti i tentativi di autenticazione al servizio web. Si potrebbe idealmente impostare questa funzione per utilizzare HTTPS come bene.
A seconda della rete istituita tra l'applicazione e il vostro cliente, e quanto controllo entrambi avete sulle vostre reti, il vostro cliente può essere in grado di instradare le richieste da uno dei vostri indirizzi IP fino alla loro rete - l'abbiamo fatto una volta con una terza parte. Avevamo bisogno di accesso a uno dei loro servizi su una sottorete privata, e perché eravamo entrambi con lo stesso ISP abbiamo raggiunto un accordo che l'ISP avrebbe configurare e gestire l'instradamento così abbiamo ottenuto in modo efficace un tunnel completamente privato.
