Autenticación de Active Directory con proxy LDAP

Tenemos servicios en una red aislada. Estos servicios necesitan autenticar usuarios contra el servidor de Active Directory.

Sin embargo, el servidor de Active Directory no está disponible directamente, por lo que tengo que configurar un proxy LDAP en la red aislada. El proxy LDAP tendrá acceso al AD. Tenga en cuenta que el acceso debe ser de solo lectura y este proxy tendrá acceso a un solo servidor AD.

• ¿Es esto posible / factible?
• ¿Es el término "proxy" el buen término?
• ¿Es obligatorio un servidor Microsoft AD o OpenLDAP hará bien el trabajo?
• Tengo poco conocimiento sobre AD / LDAP, ¿cómo es la curva de aprendizaje?
• ¿Algunas pistas por dónde comenzar?

Gracias.

¿Es esto posible / factible?

Esto es factible y común. Si busca algo como el directorio activo del proxy openldap , encontrará varios resultados útiles.

¿Es el término "proxy" el buen término?

Este es absolutamente el término correcto para usar.

¿Es obligatorio un servidor Microsoft AD o OpenLDAP hará bien el trabajo?

Si sus clientes solo esperan un servidor LDAP, entonces OpenLDAP estará bien, especialmente si solo necesitará acceso de solo lectura.

Tengo poco conocimiento sobre AD / LDAP, ¿cómo es la curva de aprendizaje?

Sin conocer sus antecedentes, es una pregunta difícil de responder. Creo que LDAP es fundamentalmente simple, pero comprender el control de acceso en OpenLDAP puede tomar un poco de trabajo.

¿Algunas pistas por dónde comenzar?

Si todo lo que necesita hacer es hacer que el servidor AD esté disponible dentro de su red local, entonces un simple proxy TCP o las reglas apropiadas de iptables serán mucho más simples que un proxy LDAP completo. La desventaja de esto es que necesitaría realizar cualquier control de acceso en el lado de Active Directory.

Si decides utilizar OpenLDAP como proxy:

• La instalación y configuración paso a paso de OpenLDAP como proxy para Active Directory parece encajar en la factura del título, pero no es muy buena como guía.

• La documentación de Samba tiene algunas notas en este sentido.

• Este artículo que escribí hace unos años es más de lo que desea, pero tiene algunos ejemplos de configuración.

Active Directory Lightweight Directory Services parece exactamente lo que necesita, pero si desea autenticarse directamente contra AD, en su lugar, simplemente puede hacer que un proxy TCP vuelva a sus servidores AD; HAProxy sería un buen ajuste.