使用 WS 网关和 LDAP 向 Web 服务提供 AAA 的最优雅、最有效的方法是什么？

Question

我正在寻找为 Web 服务提供授权、身份验证和审核的最佳方法。 我将使用部署到 DMZ 的 Web 服务网关设备，并且将有一个 LDAP 实例作为防火墙后面的用户存储。 应该如何建设呢？

干杯

KA

更新 正如下面的答案所指出的，LDAP 并不适合审计。 我们现在正在考虑调用我们的 CRM 系统来实现此功能，因为我们可以审核客户的使用情况。

Answer 1

身份验证相当标准。 尝试验证用户名和密码时，首先绑定为具有查看所有用户权限的用户，然后在相应字段中搜索具有提供的用户名的条目（可能是“uid”）。 找到该条目后，获取其 DN 并尝试使用提供的密码绑定为该条目。

授权通常使用“动态组”来处理，其中每个用户对象中都有一个多值属性来说明用户拥有什么权限，或者使用“静态组”来处理，其中您拥有类似于“groupOfNames”的类的对象并坚持将所有成员的 DN 添加到“member”属性中。

随心所欲地进行审计。 LDAP 可能不是保存审计数据的最佳方式。 如果您愿意，您可以将其保存在数据库中，或者仅使用系统日志。