我正在寻找为web服务提供授权、身份验证和审计的最佳方式。我将使用部署到DMZ的web服务网关设备,并且将有一个LDAP实例作为防火墙后面的用户存储。它应该如何建造?
干杯
KA-
更新正如下面的回答所指出的,LDAP对于审计来说并不理想。我们现在正在考虑向我们的CRM系统调用此功能,因为我们可以审计客户的使用情况。
身份验证是相当标准的。当尝试验证用户名和密码时,首先以具有查看所有用户权限的用户身份绑定,然后在适当的字段(可能是"uid")中搜索具有所提供用户名的条目。找到条目后,获取其DN,并尝试使用提供的密码绑定为该条目。
授权通常使用"动态组"来处理,即在每个用户对象中都有一个多值属性,说明用户拥有什么权限;或者使用"静态组",即具有类似于"groupOfNames"的类的对象,并将所有成员的DN粘贴到"member"属性中。
随意进行审计。LDAP可能不是保存审核数据的最佳方式。如果愿意,您可以将其保存在数据库中,或者只使用syslog。