Интегрированная аутентификация на веб-сервере - безопасность?

Question

У нас есть собственный веб-сервер, на котором размещен наш веб-сайт, открытый для общественности за пределами нашей сети.

У меня есть запрос на добавление ссылки «Внутренние публикации» на странице «Карьера» для проверки подлинности пользователя по списку Active Directory нашей сети.

В настоящее время он настроен таким образом, что ссылка попадает на страницу внутри структуры каталогов веб-сайта, а в папке этой страницы установлено значение «Интегрированная проверка подлинности Windows». Для этой страницы анонимный доступ отключен. Если пользователь прошел проверку подлинности (т.е. вошел в нашу сеть или предоставил надлежащие учетные данные), он передает их на внешний веб-сайт, посвященный карьере, на котором размещаются наши вакансии. Если они не могут аутентифицироваться, отображается страница ошибки 401.

Это отлично работает, но есть проблема с ним. Используя IE, люди не могут просто ввести свое имя пользователя. Они (конечно) также обязаны вводить доменное имя. К сожалению, доменом по умолчанию является URL нашего веб-сайта (www.xyz.com/username). Я бы хотел, чтобы он автоматически выбирал имя нашего внутреннего домена (aaa / username), но не уверен, как это сделать.

Другой вариант - использовать LDAP и небольшой ASP-сценарий для аутентификации пользователя. У меня уже есть этот код, но я не уверен в последствиях этого для безопасности. По сути, страница будет настроена для анонимной аутентификации, и если пользователь не вошел в нашу сеть, ему будет предложено ввести имя пользователя / пароль в стандартных текстовых полях. Затем он передается в сценарий ASP, который выполняет поиск LDAP в нашей Active Directory. Есть ли какие-либо проблемы безопасности с этим методом?

Какой метод вы бы выбрали?

Спасибо.

РЕДАКТИРОВАТЬ: Кажется, я не могу аутентифицироваться в ActiveD через LDAP, используя комбинацию имя пользователя / пароль. Так что забудьте об этом варианте.

Теперь мой вопрос: как я могу изменить «домен» по умолчанию, который использует IWA? Это вообще возможно? По-видимому, IE по умолчанию использует «www.xyz.com \ username» (мой веб-сайт), а не «aaa \ username» (мое доменное имя). Конечно, www.xyz.com \ username терпит неудачу, потому что это не то место, где находится наш ActiveD ... Возможно ли это? Я хочу сделать это максимально простым для наших сотрудников.

Answer 1

URL-адрес веб-сайта для набора сайтов, которые считаются находящимися в локальной интрасети для браузеров IE, работающих во внутренней сети. По умолчанию сайты считают, что в локальную интрасеть будут отправлены текущие учетные данные зарегистрированных пользователей при вызове NTLM / Kerberos. Следовательно, ваши внутренние пользователи даже не должны видеть окно входа в сеть.

Answer 2

Я ненавижу углублять старую ветку, но ответы немного вводят в заблуждение, если я понимаю вопрос. Поток, на который ссылается Ремус, касается аутентификации через LDAP с именем пользователя только . Как он указывает, это невозможно. Но похоже, что Колтен имеет в виду аутентификацию через LDAP с использованием имени пользователя и пароля. Это стандартная практика, называемая связыванием .

Answer 3

Вы не можете аутентифицировать пользователя с помощью скрипта, который ищет пользователя в LDAP. Вы должны знать, что пользователь является тем, кем он себя утверждает, и единственный способ сделать это - позволить NTLM / Kerberos аутентифицировать пользователя (т.е. установить доказательство того, что пользователь знает секрет, хранящийся в AD, пароль ).