웹 서비스에 권한 부여, 인증 및 감사를 제공하는 가장 좋은 방법을 찾고 있습니다. DMZ에 배포 된 웹 서비스 게이트웨이 장비를 사용할 것이며 방화벽 뒤에 사용자 저장소로 LDAP 인스턴스가 있습니다. 어떻게 만들어야합니까?WS 게이트웨이와 LDAP를 사용하여 웹 서비스에 AAA를 제공하는 가장 우아하고 효율적인 방법은 무엇입니까?
건배
KA
는으로 아래 답변에서 지적 업데이트, LDAP은 감사에 적합하지 않습니다. 우리는 고객에 의한 사용량을 감사 할 수 있기 때문에이 기능을 위해 CRM 시스템에 대한 호출을 검토 중입니다.
인증은 상당히 표준입니다. 사용자 이름과 비밀번호를 확인하려면 먼저 모든 사용자를 볼 수있는 권한을 가진 사용자로 바인딩하고 제공된 필드에 제공된 사용자 이름 (아마도 "uid")으로 항목을 검색하십시오. 항목을 찾으면 해당 DN을 가져 와서 제공된 암호를 사용하여 해당 항목으로 바인딩하십시오.
권한 부여는 대개 사용자가 가진 권한을 나타내는 각 사용자 개체에 다중 값 속성이있는 "동적 그룹"또는 클래스의 개체가 " groupOfNames "를 지정하고 모든 구성원의 DN을"member "속성에 지정하십시오.
감사를 원하지만. LDAP는 감사 데이터를 저장하는 최선의 방법이 아닙니다. 원하는 경우 데이터베이스에 저장할 수도 있고 syslog를 사용할 수도 있습니다.
멋진 정보 감사! 후속 통화는 어떻게 처리됩니까? 토큰을 통해? –
그건 프로그래머에게 달렸어. 매번 (볼륨/강력한 LDAP 서버가 충분하지 않은 경우) 매번 LDAP로 돌아갈 수도 있고 결과를 캐시 할 수도 있습니다. 세션 내에서 캐시 할 수도 있고 전역 권한 캐시를 가질 수도 있습니다. 가장 좋은 것은 나머지 앱에 달려 있습니다. – Glomek