Autenticação do Active Directory com proxy LDAP

Temos serviços em uma rede isolada. Esses serviços precisam autenticar usuários no servidor do Active Directory.

No entanto, o servidor do Active Directory não está diretamente disponível, portanto, tenho que configurar um proxy LDAP na rede isolada. O proxy LDAP terá acesso ao AD. Observe que o acesso deve ser somente leitura e esse proxy terá acesso a apenas um servidor AD.

• Isso é possível / viável?
• O termo "proxy" é o bom termo?
• Um servidor Microsoft AD é obrigatório ou o OpenLDAP fará o trabalho corretamente?
• Eu tenho pouco conhecimento sobre AD / LDAP, como está a curva de aprendizado?
• Algumas dicas por onde começar?

Obrigado.

Isso é possível / viável?

Isso é viável e comum. Se você procurar algo como o diretório ativo do proxy openldap, encontrará vários resultados úteis.

O termo "proxy" é o bom termo?

Este é absolutamente o termo correto a ser usado.

Um servidor Microsoft AD é obrigatório ou o OpenLDAP fará o trabalho corretamente?

Se seus clientes estão esperando apenas um servidor LDAP, o OpenLDAP ficará bem, principalmente se você precisar de acesso somente leitura.

Eu tenho pouco conhecimento sobre AD / LDAP, como está a curva de aprendizado?

Sem conhecer seu histórico, é uma pergunta difícil de responder. Acho que o LDAP é fundamentalmente simples, mas entender o controle de acesso no OpenLDAP pode demorar um pouco.

Algumas dicas por onde começar?

Se tudo o que você precisa fazer é disponibilizar o servidor AD em sua rede local, um proxy TCP simples ou regras apropriadas de tabelas de ip serão muito mais simples que um proxy LDAP completo. A desvantagem disso é que você precisaria executar qualquer controle de acesso no lado do Active Directory.

Se você optar por usar o OpenLDAP como proxy:

• A instalação e a configuração passo a passo do OpenLDAP como proxy para o Active Directory parecem se encaixar na conta do título, mas não é muito bom como guia.

• A documentação do Samba tem algumas notas nesse sentido.

• Este artigo que escrevi há alguns anos é mais do que você deseja, mas possui alguns exemplos de configuração.

Os Serviços de Diretório Leve do Active Directory parecem exatamente o que você precisa - mas se você quiser se autenticar diretamente no AD, poderá fazer um proxy TCP de volta aos seus servidores AD; HAProxy seria um bom ajuste.