Authentification Active Directory avec proxy LDAP

Nous avons un service dans un réseau isolé. Ces services doivent authentifier les utilisateurs auprès du serveur Active Directory.

Cependant, le serveur Active Directory n'est pas directement disponible, je dois donc configurer un proxy LDAP dans le réseau isolé. Le proxy LDAP aura alors accès à l'AD. Notez que l'accès doit être en lecture seule et ce proxy n'aura accès qu'à un seul serveur AD.

• Est-ce possible / faisable?
• Le terme «proxy» est-il le bon terme?
• Un serveur Microsoft AD est-il obligatoire ou OpenLDAP fera le travail correctement?
• J'ai peu de connaissances sur AD / LDAP, comment est la courbe d'apprentissage?
• Quelques conseils par où commencer?

Merci.

Est-ce possible / faisable?

Ceci est à la fois réalisable et courant. Si vous recherchez quelque chose comme Active Directory proxy Active Directory, vous trouverez un certain nombre de résultats utiles.

Le terme «proxy» est-il le bon terme?

C'est absolument le bon terme à utiliser.

Un serveur Microsoft AD est-il obligatoire ou OpenLDAP fera le travail correctement?

Si vos clients n'attendent qu'un serveur LDAP, OpenLDAP conviendra parfaitement, en particulier si vous n'aurez besoin que d'un accès en lecture seule.

J'ai peu de connaissances sur AD / LDAP, comment est la courbe d'apprentissage?

Sans connaître votre parcours, il est difficile de répondre à cette question. Je trouve que LDAP est fondamentalement simple, mais faire le tour du contrôle d'accès dans OpenLDAP peut prendre un peu de travail.

Quelques conseils par où commencer?

Si tout ce que vous avez à faire est de rendre le serveur AD disponible sur votre réseau local, un simple proxy TCP ou des règles iptables appropriées seront beaucoup plus simples qu'un proxy LDAP complet. L'inconvénient est que vous auriez besoin d'effectuer un contrôle d'accès du côté Active Directory.

Si vous décidez d'utiliser OpenLDAP comme proxy:

• L'installation et la configuration étape par étape d'OpenLDAP en tant que proxy vers Active Directory semblent correspondre à la facture du titre, mais ce n'est pas très bon comme guide.

• La documentation de Samba contient quelques notes dans ce sens.

• Cet article que j'ai écrit il y a quelques années est plus que ce que vous voulez, mais contient quelques exemples de configuration.

Active Directory Lightweight Directory Services semble être exactement ce dont vous avez besoin - mais si vous souhaitez vous authentifier directement auprès d'AD, vous pouvez simplement renvoyer un proxy TCP à vos serveurs AD; HAProxy serait un bon choix.