Как вы можете пройти аутентификацию для использования AD с внешнего веб-сайта?

Question

Вот что я пытаюсь сделать: у меня есть сайт, построенный на CMS, который может проходить аутентификацию через LDAP. Я хотел бы, чтобы пользователи могли использовать свои имена пользователей и пароли AD для аутентификации на сайте.

По сути, я пытаюсь понять, есть ли хороший способ сделать Active Directory доступным извне через соединение LDAP. Какие есть варианты для такого рода вещей?

Исследования в Интернете. Я нашел несколько предложений по настройке AD LDS в нашей DMZ и повторной его репликации с нашим внутренним контроллером домена. Кажется, что это сработает, но у меня нет глубокого понимания AD LDS, поэтому я не уверен.

Есть ли какой-нибудь стандартный способ сделать это? Или, как правило, рекомендуется устанавливать отдельную пользовательскую базу данных для внешнего использования?

Answer 1

Если у вас уже есть все пользователи «внешнего хостинга» в вашем домене AD, вы должны иметь возможность выполнять аутентификацию LDAP на любом DC.

Если вы не хотите, чтобы пользователи вашего «внешнего веб-сайта» находились в вашем домене, настройте экземпляр LDS. (Но я бы не стал помещать его в DMZ. Просто откройте двухточечный путь через брандмауэр к экземпляру LDS для порта 636.)

-Джит