使用 WS 网关和 LDAP 向 Web 服务提供 AAA 的最优雅、最有效的方法是什么?

发布于 2024-07-08 18:06:57 字数 231 浏览 13 评论 0原文

我正在寻找为 Web 服务提供授权、身份验证和审核的最佳方法。 我将使用部署到 DMZ 的 Web 服务网关设备,并且将有一个 LDAP 实例作为防火墙后面的用户存储。 应该如何建设呢?

干杯

KA

更新 正如下面的答案所指出的,LDAP 并不适合审计。 我们现在正在考虑调用我们的 CRM 系统来实现此功能,因为我们可以审核客户的使用情况。

I'm looking for the best way to provide authorization, authentication, and auditing to web services. I'll be using a web service gateway appliance deployed to the DMZ, and there will be an LDAP instance as a user store behind the firewall. How should it be built?

Cheers

KA

Update
As pointed out in an answer below, LDAP isn't ideal for auditing. We're now looking at a call to our CRM system for this function as we can audit the usage by customer.

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

初与友歌 2024-07-15 18:06:57

身份验证相当标准。 尝试验证用户名和密码时,首先绑定为具有查看所有用户权限的用户,然后在相应字段中搜索具有提供的用户名的条目(可能是“uid”)。 找到该条目后,获取其 DN 并尝试使用提供的密码绑定为该条目。

授权通常使用“动态组”来处理,其中每个用户对象中都有一个多值属性来说明用户拥有什么权限,或者使用“静态组”来处理,其中您拥有类似于“groupOfNames”的类的对象并坚持将所有成员的 DN 添加到“member”属性中。

随心所欲地进行审计。 LDAP 可能不是保存审计数据的最佳方式。 如果您愿意,您可以将其保存在数据库中,或者仅使用系统日志。

Authentication is fairly standard. When trying to verify a username and password, first bind as a user with the privilege of seeing all users, and search for an entry with the provided username in the appropriate field (probably "uid"). Once you've found the entry, get its DN and try to bind as that entry using the supplied password.

Authorization is usually handled with either "dynamic groups", where you have a multi-valued attribute in each user object that says what privileges the user has, or using "static groups" where you have objects of a class resembling "groupOfNames" and stick the DNs of all members into the "member" attribute.

Do auditing however you like. LDAP is probably not the best way to save audit data. You could stick it in a database if you like, or just use syslog.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文