我正在开发一个企业云应用程序,并正在解决使用PHP LDAP库连接到客户网络以检索用户对象时将面临的安全问题。
首先,我的客户必须向我的网络服务器开放他们的网络,这对许多人来说是一个巨大的安全风险。大多数人甚至会拒绝创建只允许从我的公共IP进行LDAP查询的防火墙规则。
其次,连接必须始终可用,这样我的应用程序才能轮询和检测新的、禁用的和删除的用户对象。这进一步增加了我的客户的风险因素。
第三个问题是确保我只获得客户端AD服务器的读取权限-我如何确保我的客户端不会意外地授予我们对其AD的写访问权限?使用PHP,我可以查询提供的域帐户的权限吗?如果包括写入,我可以拒绝接受/存储凭据吗?
有人有更好的建议吗?我可以在我的一端建立一个API来监听和接受来自我的客户可以托管的脚本的指令,但这是一个令人头疼的问题-当然可以解决安全问题。
有很多连接到LDAP服务器的方法,但关于从公共网络上的服务器与专用网络中的LDAP服务器同步的最佳方法的文章并不多。
急需的建议:)
谢谢!
有太多的vauge语句,但这里是一个尝试。
第三个问题是确保我只获得客户的阅读权限AD服务器-我如何确保我的客户端不会意外提供我们写访问他们的广告?我可以用PHP查询权限吗提供的域帐户,如果包含写入,则拒绝是否接受/存储凭据?
当然,为什么不呢。但你可能有权进入,但其他人没有。
有人有更好的建议吗?
我甚至无法想象通过互联网访问任何一个,当然也不是很大的LDAP组织。即使它作为API是安全的。您确实需要像OAuth或OpenIDConnect这样的API接口。