Bekijk Volledige Versie : Active Directory vraag
Hallo goeroe's!
Ik heb een webapplicatie ontwikkeld die gebruik maakt van windows authenicatie en groepen die in het active directory bij de klant zijn aangemaakt. Oftewel, de gebruikers van de applicatie en groepen waarin de gebruikers zitten worden beheerd in het AD en mijn webapplicatie maakt hier gebruik van. Werkt prima!
Alleen nu het volgende. De klant heeft gezegd dat ze liever willen dat de applicatie op een door mij beheerde server draait. Dus ergens in een datacenter en toegankelijk via internet. Alleen raak ik dan de koppeling met het active directory kwijt. Deze server hangt natuurlijk niet in het netwerk van de klant.
Hoe kan dit nu opgelost worden? Ik zit al even te kijken naar ADAM, maar weet niet of dit de goede oplossing is.
Ik hoor graag jullie ideeën.
Met vriendelijke groet,
msdevasp
Ff heel simpel: zet op je colobak een VPN op naar de server met AD?
VerhoevenDavy
26/12/07, 14:06
dit lijkt mij idd de geschikte oplossing.
Je kan der middel van een VPN een extra domain controller maken. Of gewoon connecten naar de normale Domain controller via de VPN. Ik zou voor de eerste oplossing gaan, die is het snelst.
Jan-Willem
26/12/07, 14:38
ADAM is daar inderdaad zeer geschikt voor.
Je kan ADAM wel gebruiken maar dat is een (even versimpeld gezegd) losstaand Active Directory. In jouw geval zou je je applicatie niet/minimaal aan te hoeven passen om gegevens op te halen uit ADAM.
Echter synchoniseerd ADAM niet met AD en zullen de gegevens daar apart geadministreerd moeten worden. Dat kan een voordeel zijn, maar is meestal een nadeel. Wel is het mogelijk om met Identity Integration Server dan weer te koppelen, maar dat lijkt me ook minder. Als je ADAM gaat gebruiken, zet die database dan ook op een aparte server.
Een VPN is een optie, maar het is een super slechte optie om een Domain Controller op je webserver te draaien. Je kan dus of een extra Domain Controller in je DC plaatsen of gewoon authenticeren over het VPN (mogelijk traag). Ook zijn er security overwegingen om geen (ongefilterd) VPN tussen je webserver en je "Corporate LAN" te hebben, of een Domain Controller in je DC.
De reden dat je we webserver buiten de deur plaatst is er vaak een van veiligheid; dan moet je niet de achterdeur wijd open zetten.
Microsoft ondersteund deze scenario's d.m.v. "Federation". Een voorbeeld is hier te vinden: Federated Web SSO example (http://technet2.microsoft.com/windowsserver/en/library/0f9bb291-0806-48f4-b342-fc5d70f0eeac1033.mspx). Niet de eenvoudigste oplossing, zelfs als je servers combineerd en/of virtualiseerd...
Samenvattend is het niet zo makkelijk om een in AD geintegreerde applicatie veilig en betrouwbaar "buiten de deur" te plaatsen. Voor een "kleine" implementatie zou ik kiezen voor ADAM en het extra beheer voor lief nemen (breng het rustig als extra beveiligings feature!) en in grote scenario's biedt Federation de juiste oplossing.
George/
P.S. Je zou ook je authenticatie kunnen re-designen, waarbij een web-service backend verantwoordelijk is voor het authenticeren van gebruikers. Dit maakt het beveiligen van de comminicatie tussen back- en frontend eenvoudiger te beveiligen waarmee het mogelijk wordt het backend in/bij het LAN te draaien en de applicatie toch "buiten de deur" te hosten. Dit vergt echter (potentieel ingrijpende) aanpassing van je applicatie. Daar tegenover heb je qua infrastructuur niets bijzonders nodig.
Ronald Boer
30/12/07, 14:34
dit lijkt mij idd de geschikte oplossing.
Klopt ik stem hiermee in. Dit is volgens mij ook de beste oplossing