IT2web

Системному администратору Windows Server

Главная --> Active Directory --> Авторизация ресурсов DMZ в Active Directory

Авторизация ресурсов DMZ в Active Directory



Индекс материала
Авторизация ресурсов DMZ в Active Directory
Используем RADIUS
Все страницы


Одна из распространенных задач — предоставление авторизованным пользователям предприятия доступа к ресурсам из Интернета. Подчеркну: речь идет именно об авторизованных пользователях, т. е. тех, кто со своего рабочего места имеет доступ к почте, серверам Web и другим приложениям. Задача в том, чтобы предоставить им доступ к тем же ресурсам извне и сделать это так. чтобы не нарушить безопасность сети и не усложнить процедуру доступа.

Если с первым требованием все понятно, второе требует пояснения.

Обычно доступ из Интернета к внутренним ресурсам нужен мобильным пользователям на выезде. Реалии нашей жизни таковы, что ими, как правило, являются большие шишки, для которых ввод пароля при регистрации уже стресс. Если же их заставить вводить пароль дважды, трижды, да еще и разные, то уровень их удовлетворенности резко понизится. Типовое решение — разместить такие ресурсы в демилитаризованной зоне (DMZ), отделенной и от Интернета, и от внутренней сети межсетевыми экранами. При правильной настройке экранов проблему безопасности решить довольно легко. Трафик организуется так, что к ресурсам в DMZ можно пройти либо из внутренней сети, либо из Интернета, но пройти DMZ насквозь нельзя. Авторизация же подразумевает, что пользователь, прежде чем получить доступ к ресурсу, должен обратиться к центру авторизации, получить у него сеансовый билет, а потом, предъявив его серверу, на котором лежат нужные ресурсы, получить к ним доступ. Так как сквозной проход через DMZ закрыт, то, на первый взгляд, центр авторизации может находиться только внутри DMZ. Исходя из этого, возможны три варианта его размещения:

  • каждый сервер сам авторизует доступ к своим ресурсам;
  • в DMZ помещается домен, не входящий в дерево Active Directory внутренней сети; между этим доменом и внутренним деревом устанавливаются односторонние нетранзитивные отношения;
  • в DMZ помещается контроллер домена и ГК основного дерена, который и выполняет авторизацию доступа.

Преимущества и недостатки различных способов авторизации в DMZ:

Тип авторизации Преимущества
Недостатки
На каждом  сервере Нет компрометации базы пользователей внутренней сети

Сложность администрирования: каждый сервер содер-

жит свой комплект учетных  записей и групп

Отдельный домен

Доступ из внутренней сети   возможен в силу односто-

ронних доверительных  отношений

Неудобный доступ из внут-

ренней сети: надо регистри-

роваться на каждом сервере.

Неудобный доступ из внеш-

ней сети: надо регистриро-

ваться на каждом сервере

Двойное администрирование. Надо содержать базу

внешних пользователей без  синхронизации паролей

Неудобство доступа из  внешней сети: надо регист-

рироваться в этом домене

Контроллер внутреннего
домена вынесен в DMZ

Простота администрирования. Простота доступа из внутренней

и внешеней сети

Учетные записи Active Directory подвергаются вы-

сокой опасности быть скомпрометированными

Как видите, все три варианта потенциально опасны или неудобны. Больше всего преимуществ у последнего, однако его недостаток способен перекрыть все преимущества. Сеть DMZ потенциально уязвима. Никто не даст 100% гарантии того, что хакер не проникнет в DMZ. A раз так, нельзя считать эту сеть надежной и размещать в ней критически важные серверы. Контроллер домена с ГК относится к самым критическим элементам Active Directory, так как на нем хранится информация обо всех пользователях сети. Выходит, данный вариант отпадает по соображениям безопасности. Первые два просто неудобны. Я знаю компании, использующие их, но они были бы рады от них избавиться.
Выходит, сделать так, чтобы и волки были сыты, и овцы целы, нельзя?
Отнюдь нет. Решение есть: это сервер аутентификации RADIUS.

 



 

Яндекс.Метрика