VPNを使用したPHP / LDAP認証

Question

私は、興味深い状況がある、とGoogleはこの問題に関するあらゆる情報を持っているように見えません。

私はPHPで書かれたWebベースのソフトウェアを開発しています。私たちのクライアントのほとんどは、認証のためのCASサーバーのセットアップのいくつかの並べ替えを持っている、と我々は単に彼らの認証サーバで、私たちのサイトを指しています。私たちは、CASサーバーを持っていない新しいクライアントを持っているので、私たちは、好ましくは、SSL（LDAPS）で、LDAPを使用することができ、それらを語りました。彼らはLDAPSを行う能力を持っている場合、私はわからないんだけど、本当の問題は、彼らが同じネットワーク上にあるLDAP接続が必要（現時点では）、このように、私が最初に彼らのVPNに接続するために必要があるだろうということで、その後、彼らのLDAPサーバーを照会します。

さて、私は当社のサーバー上のVPN接続を行うことができると確信している、そしてそれを通して向け、すべてのトラフィックを持っているが、それは私たちのすべてのクライアントのための単一障害点を作成し、私たちのコントロールの外に完全になります;これは本当にオプションではありません。

私はおそらく、接続を解除し、ユーザーを認証し、接続を行うための方法を見つけることができます。それは長い時間がかかるだろうお粗末な選択のように思える。

私は、（a）は、ののみのPHPでVPN接続を開き、LDAPサーバーに接続するか、（2）何とかコードPHP /私のサーバーを設定するには、その接続を使用することができる場合は、

だから、誰もが知っていますそのため、LDAPサーバーへの要求のみがVPNおよび他のすべての要求は、デフォルトのインターネット接続を使用するでしょう？

私は本当に少しはこれを行うには良い方法へと迷ってしまいました、任意の助けをいただければ幸いです。どうもありがとうございました！

Answer 1

クライアント側でのSSHサーバーはありますか？もしそうなら、おそらくあなたはトンネルのクライアントと彼らの最後のSSHサーバへの接続を経由手配ができます。それは、VPNに似て行うのときには、それが認証される直前にSSHトンネルを開くには、アプリケーションを聞いて、それを閉じることができます。

あなたはおそらくVPNは、基礎となるOSに依存してこれを行うことができます。いずれにせよ、かなりになるだろうし、パフォーマンスに欠けていることするつもりはありません。またいずれかの方法で、トンネルはそれが開いている間に使用するサーバー上のすべてのアプリケーションのために利用可能になるだろうされます。

これが私だったら

、私は私のためにこれをホストし、Webサービスに、すべての認証試行を中継するクライアントとの合意を設定し、認証を行うためのWebサービスを記述します。あなたは理想的にもHTTPSを使用するようにこれを設定します。

あなたのアプリケーションとクライアント、およびどのくらいのコントロールあなたの両方があなたのネットワーク上で持っている間に設定ネットワークによっては、クライアントがネットワークに至るまで、あなたのIPアドレスのいずれかからのルート要求にできる可能性があります - 私たちは、一回これをしませんでしたサードパーティ。私たちは、プライベートサブネット上の彼らのサービスのいずれかへのアクセスを必要とし、私たちは同じISPとの両方をしたので、我々は、ISPが設定し、我々は効果的に完全にプライベートトンネルを得たので、ルーティングを維持することで合意しました。