Аутентификация Active Directory с прокси-сервером LDAP

У нас есть услуги в изолированной сети. Эти службы должны аутентифицировать пользователей на сервере Active Directory.

Однако сервер Active Directory недоступен напрямую, поэтому мне нужно настроить прокси-сервер LDAP в изолированной сети. Прокси-сервер LDAP получит доступ к AD. Обратите внимание, что доступ должен быть только для чтения, и этот прокси-сервер будет иметь доступ только к одному серверу AD.

• Это возможно / возможно?
• Является ли термин «прокси» хорошим термином?
• Является ли сервер Microsoft AD обязательным или OpenLDAP справится с задачей?
• У меня мало знаний об AD / LDAP, какова кривая обучения?
• Несколько советов, с чего начать?

Спасибо.

Это возможно / возможно?

Это возможно и распространено. Если вы ищете что-то вроде активного каталога openldap proxy, вы найдете ряд полезных результатов.

Является ли термин «прокси» хорошим термином?

Это абсолютно правильный термин для использования.

Является ли сервер Microsoft AD обязательным или OpenLDAP справится с задачей?

Если ваши клиенты ожидают только сервера LDAP, то с OpenLDAP все будет в порядке, особенно если вам нужен только доступ только для чтения.

У меня мало знаний об AD / LDAP, какова кривая обучения?

Не зная вашего происхождения, это сложный вопрос. Я нахожу, что LDAP принципиально прост, но чтобы обдумать управление доступом в OpenLDAP, может потребоваться немного работы.

Несколько советов, с чего начать?

Если все, что вам нужно сделать, это сделать сервер AD доступным в вашей локальной сети, то простой прокси-сервер TCP или соответствующие правила iptables будут намного проще, чем полноценный прокси-сервер LDAP. Недостатком этого является то, что вам нужно будет осуществлять контроль доступа со стороны Active Directory.

Если вы решили использовать OpenLDAP в качестве прокси:

• Поэтапная установка и настройка OpenLDAP в качестве прокси-сервера в Active Directory, кажется, соответствует требованиям из заголовка, но это не очень хорошо в качестве руководства.

• Документация Samba содержит несколько примечаний в этом направлении.

• Эта статья, которую я написал несколько лет назад, больше, чем вы хотите, но в ней есть несколько примеров конфигурации.

Active Directory облегченные службы каталогов, кажется, именно то, что вам нужно, но если вы хотите напрямую аутентифицироваться в AD, вы можете вместо этого просто сделать TCP-прокси обратно на серверы AD; HAProxy подойдет.