Я разрабатываю корпоративное облачное приложение и решаю проблемы безопасности, с которыми я столкнусь при использовании библиотеки PHP LDAP для подключения к клиентским сетям для извлечения пользовательских объектов.
Во-первых, проблема в том, что моим клиентам придется открыть свою сеть для моих веб-серверов, что для многих представляет огромный риск для безопасности. Большинство даже отказались бы от создания правил брандмауэра, разрешающих запросы LDAP только с моих общедоступных IP-адресов.
Во-вторых, соединение должно оставаться доступным все время, чтобы мое приложение могло опрашивать и обнаруживать новые, отключенные и удаленные пользовательские объекты. Это еще больше увеличивает фактор риска для моих клиентов.
Третья проблема заключается в том, чтобы убедиться, что я получаю права только на чтение для сервера AD моих клиентов. Как я могу гарантировать, что мои клиенты случайно не предоставят нам доступ для записи к своему AD? Могу ли я с помощью PHP запрашивать разрешения предоставленной учетной записи домена и, если запись включена, отказываться принимать/сохранять учетные данные?
У кого-нибудь есть лучшие предложения? Я могу установить API на своей стороне, чтобы слушать и принимать инструкции от скрипта, который могут разместить мои клиенты, но это головная боль - определенно устраняет проблемы с безопасностью.
Существует так много способов подключения к серверу LDAP, но не так много статей о наилучшем способе синхронизации с сервером LDAP в частной сети с сервера в общедоступной сети.
Очень нужен совет :)
Благодарю вас!
