Безопасность для веб-приложения через Active Directory

Question

Безопасность для веб-приложения через Active Directory

Вот ситуация, к которой я сейчас обращаюсь. Я работаю над веб-проектом, безопасность которого связана с Active Directory. Это означает, что технически, когда вы добавляете пользователя через приложение, мы добавляем нового пользователя в Active Directory на сервере. Теперь мой вопрос: это хорошая практика?

На данный момент я думаю об уязвимости, которая заключается в том, что вы можете создать удаленный рабочий стол на сервере развертывания с учетной записью, созданной вами с помощью приложения (исправьте меня, если я ошибаюсь). Но я просто хочу подтвердить это, прежде чем я смогу сообщить об этом своему архитектору.

Любые предложения будут высоко оценены.

Жду вашего ответа.

1

security active-directory

Источник

user153410 24 май '10 в 16:53

1 ответ

Решение

Другие вопросы по тегам security active-directory

user25507 24 май '10 в 17:35 2010-05-24 17:35 · Accepted Answer · 2010-05-24 17:35

Если веб-приложение имеет разрешение на создание учетных записей в Active Directory, это означает, что веб-приложение предположительно имеет учетную запись с (возможно, ограниченными) административными правами на домен Active Directory. Это может потенциально быть использовано для всех видов плохих вещей, если вы не будете осторожны.

Если вы собираетесь продолжить, то первым шагом, если вы еще этого не сделали, является делегирование административных прав учетной записи вашего веб-приложения, чтобы оно могло создавать учетные записи только в пределах определенного подразделения. См. Эту статью для получения подробной информации или поиска Google для других описаний.

Возможно, вы также захотите настроить групповую политику и членство в группах для дальнейшего ограничения вновь создаваемых учетных записей (например, отключение удаленного рабочего стола), и вы захотите сделать это так, чтобы не зависеть от веб-приложения. делать правильные вещи (как дополнительный уровень безопасности в случае взлома веб-приложения).

ServerFault будет лучшим местом, чтобы узнать о модели безопасности Active Directory и о том, как наилучшим образом настроить эти различные ограничения.

Наконец, если вам не нужно, чтобы пользователи автоматически создавались в вашем домене Active Directory, вам следует рассмотреть другие подходы. Если вы хотите использовать Active Directory, например, в качестве стабильного и надежного источника аутентификации пользователя, то вы можете использовать службы Active Directory облегченного доступа к каталогам (ранее известный как режим приложения Active Directory), чтобы получить функциональность Active Directory без какого-либо влияния на безопасность вашего домена.