Каков наиболее элегантный и эффективный способ предоставления AAA веб-службам с использованием шлюза WS и LDAP?

Question

Каков наиболее элегантный и эффективный способ предоставления AAA веб-службам с использованием шлюза WS и LDAP?

Я ищу лучший способ обеспечить авторизацию, аутентификацию и аудит для веб-сервисов. Я буду использовать устройство шлюза веб-службы, развернутое в DMZ, и за брандмауэром будет находиться экземпляр LDAP в качестве хранилища пользователей. Как это должно быть построено?

ура

KA

Обновление Как указано в ответе ниже, LDAP не идеален для аудита. Сейчас мы смотрим на вызов нашей CRM-системы для этой функции, так как мы можем проверить использование клиентом.

3

web-services security gateway sts-securitytokenservice aaa-security-protocol

Источник

user32462 07 ноя '08 в 21:12

1 ответ

Решение

Другие вопросы по тегам web-services security gateway sts-securitytokenservice aaa-security-protocol

user5922 07 ноя '08 в 22:16 2008-11-07 22:16 · Accepted Answer · 2008-11-07 22:16

Аутентификация довольно стандартная. При попытке подтвердить имя пользователя и пароль сначала свяжитесь как пользователь с привилегией видеть всех пользователей и найдите запись с предоставленным именем пользователя в соответствующем поле (вероятно, "uid"). Как только вы нашли запись, получите ее DN и попробуйте связать эту запись, используя предоставленный пароль.

Авторизация обычно обрабатывается либо с помощью "динамических групп", где у вас есть многозначный атрибут в каждом пользовательском объекте, который говорит, какие привилегии имеет пользователь, либо с помощью "статических групп", где у вас есть объекты класса, напоминающего "groupOfNames", и стик DN всех членов в атрибуте "member".

Проводите одитинг так, как вам нравится. LDAP, вероятно, не лучший способ сохранить данные аудита. Вы можете поместить его в базу данных, если хотите, или просто использовать системный журнал.