我正在寻找向 Web 服务提供授权、身份验证和审计的最佳方式。我将使用部署到 DMZ 的 Web 服务网关设备,并且将有一个 LDAP 实例作为防火墙后面的用户存储。应该如何建造?
干杯
K A
更新 正如在下面的答案中指出的那样,LDAP 不是审计的理想选择。我们现在正在考虑调用我们的 CRM 系统来实现此功能,因为我们可以审核客户的使用情况。
Kaiser Advisor
问问题
382 次
1 回答
4
身份验证是相当标准的。尝试验证用户名和密码时,首先绑定为具有查看所有用户权限的用户,然后在相应字段(可能是“uid”)中搜索具有提供的用户名的条目。找到条目后,获取其 DN 并尝试使用提供的密码绑定为该条目。
授权通常使用“动态组”处理,在每个用户对象中都有一个多值属性,说明用户拥有什么权限,或者使用“静态组”处理,其中您拥有类似于“groupOfNames”的类对象并坚持将所有成员的 DN 放入“member”属性中。
随心所欲地进行审计。LDAP 可能不是保存审计数据的最佳方式。如果您愿意,可以将其保存在数据库中,或者只使用 syslog。
于 2008-11-07T22:16:17.657 回答