我正在开发一个企业云应用程序,并且正在解决我在使用 PHP LDAP 库连接到客户网络以检索用户对象时将面临的安全问题。
首先,我的客户必须向我的网络服务器开放他们的网络,这对许多人来说是一个巨大的安全风险。大多数人甚至会拒绝创建仅允许来自我的公共 IP 的 LDAP 查询的防火墙规则。
其次,连接必须始终保持可用,以便我的应用程序可以轮询和检测新的、禁用的和删除的用户对象。这进一步增加了我的客户的风险因素。
第三个问题是确保我只获得对我的客户 AD 服务器的读取权限 - 我如何确保我的客户不会意外地授予我们对其 AD 的写入权限?我可以使用 PHP 查询提供的域帐户的权限,如果包含写入,则拒绝接受/存储凭据?
有没有人有更好的建议?我可以在我的终端上建立一个 API 来监听和接受来自我的客户可以托管的脚本的指令,但这很麻烦——不过肯定会解决安全问题。
连接到 LDAP 服务器的方法有很多,但关于从公共网络上的服务器与专用网络中的 LDAP 服务器同步的最佳方法的文章并不多。
迫切需要建议:)
谢谢!