Каков наиболее элегантный и эффективный способ предоставления AAA веб-сервисам с использованием шлюза WS и LDAP?
Вопрос
Я ищу лучший способ обеспечить авторизацию, аутентификацию и аудит веб-сервисов.Я буду использовать шлюз веб-сервисов, развернутый в демилитаризованной зоне, и за брандмауэром будет экземпляр LDAP в качестве хранилища пользователей.Как его следует построить?
Ваше здоровье
КА
ОбновлятьКак указано в ответе ниже, LDAP не идеален для аудита.Сейчас мы рассматриваем возможность вызова этой функции в нашу CRM-систему, поскольку мы можем проверить ее использование клиентом.
Решение
Аутентификация довольно стандартная.При попытке проверить имя пользователя и пароль сначала привяжитесь как пользователь с привилегией просмотра всех пользователей и найдите запись с указанным именем пользователя в соответствующем поле (вероятно, «uid»).Найдя запись, получите ее DN и попытайтесь привязать ее к этой записи, используя предоставленный пароль.
Авторизация обычно осуществляется либо с помощью «динамических групп», где у вас есть многозначный атрибут в каждом объекте пользователя, который говорит, какие привилегии имеет пользователь, либо с использованием «статических групп», где у вас есть объекты класса, напоминающие «groupOfNames», и придерживайтесь DN всех участников в атрибут «member».
Проводите одитинг так, как вам нравится.LDAP, вероятно, не лучший способ сохранить данные аудита.Если хотите, вы можете поместить его в базу данных или просто использовать системный журнал.