Webサービスに承認、認証、および監査を提供するための最良の方法を探しています。DMZにデプロイされたWebサービスゲートウェイアプライアンスを使用し、ファイアウォールの背後にユーザーストアとしてLDAPインスタンスがあります。どのように構築する必要がありますか?
乾杯
KA
更新 以下の回答で指摘されているように、LDAPは監査には理想的ではありません。現在、お客様の使用状況を監査できるため、この機能のCRMシステムへの呼び出しを検討しています。
Kaiser Advisor
質問する
382 次
1 に答える
4
認証はかなり標準的です。ユーザー名とパスワードを確認しようとするときは、最初にすべてのユーザーを表示する権限を持つユーザーとしてバインドし、適切なフィールド (おそらく "uid") で指定されたユーザー名を持つエントリを検索します。エントリが見つかったら、その DN を取得し、提供されたパスワードを使用してそのエントリとしてバインドしてみてください。
承認は通常、ユーザーが持つ権限を示す各ユーザー オブジェクトに多値属性を持つ「動的グループ」で処理されるか、「groupOfNames」に似たクラスのオブジェクトを持ち、固執する「静的グループ」を使用して処理されます。すべてのメンバーの DN を「メンバー」属性に追加します。
好きなように監査を行ってください。LDAP は、おそらく監査データを保存する最良の方法ではありません。必要に応じてデータベースに貼り付けたり、syslog を使用したりできます。
于 2008-11-07T22:16:17.657 に答える