none
Авторизация на Windows серверах в разных точкам мира RRS feed

  • Вопрос

  • Добрый день, прошу подсказать по следующему вопросу:

    Есть N Windows серверов разбросанных по миру (dedicated, vps, etc.) Какие-то находятся в приватных сетях за NAT, какие-то публичными IP "торчат в мир", какие-то и так и так. Так же есть FreeIPA. Хочется сделать авторизацию с помощью FreeIPA. Насколько я понимаю, можно поднять AD, настроить доверие с FreeIPA, ввести сервер в домен и авторизовываться через FreeIPA на Windows-серверах. Вопросы:

    1. Как быть с серверами с публичными IP? Поднимать для них AD в публичной сети и ограничивать соединения firewall?
    2. Если AD будет находится за NAT насколько корректно будет отрабатывать доверие с FreeIPA
    3. Насколько безопастно держать контроллер домена в публичной сети?

    Какой вообще Best Practices для данной задачи? Нормально ли работает репликация между AD в публичных сетях?


    С уважением, Спицкий Никита

    5 октября 2018 г. 12:35

Ответы

  • предлагаю обратиться к разаработчику FreeIPA.

    По Вашим вопросам бех использования FreeIPA:

    1) Да, можно поднять AD на одном из серверов и настроить FireWall. Но всё равно это не даст 100% защиты.

    2) Не должно быть проблем. Обратитесь к разработчику FreeIPA.

    3) Не очень безопасно.

    6 октября 2018 г. 9:31
    Модератор

Все ответы

  • Добрый день, прошу подсказать по следующему вопросу:

    Есть N Windows серверов разбросанных по миру (dedicated, vps, etc.) Какие-то находятся в приватных сетях за NAT, какие-то публичными IP "торчат в мир", какие-то и так и так. Так же есть FreeIPA. Хочется сделать авторизацию с помощью FreeIPA. Насколько я понимаю, можно поднять AD, настроить доверие с FreeIPA, ввести сервер в домен и авторизовываться через FreeIPA на Windows-серверах. Вопросы:

    1. Как быть с серверами с публичными IP? Поднимать для них AD в публичной сети и ограничивать соединения firewall?
    2. Если AD будет находится за NAT насколько корректно будет отрабатывать доверие с FreeIPA
    3. Насколько безопастно держать контроллер домена в публичной сети?

    Какой вообще Best Practices для данной задачи? Нормально ли работает репликация между AD в публичных сетях?


    С уважением, Спицкий Никита

    Добрый День.

    По настройки стороннего по вам стоит обратиться к его разработчику.

    По ad как минимум контроллеры прячим за vpn site  to site, далее все зависит от схемы вашей сети и возможностей 


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    5 октября 2018 г. 12:49
  • Возможности поднять VPN нету.

    С уважением, Спицкий Никита

    5 октября 2018 г. 12:56
  • Возможности поднять VPN нету.

    С уважением, Спицкий Никита

    Добрый День.

    Если суть вопроса по Безопасности ad то вам стоит ознакомится с этим руководством:

    docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory

    Если вопрос по интеграции с упомянутом вами по то вам к разработчикам оного.

    Если речь идет об использовании единой базы пользователей ad, для доступа к серверам то можно посмотреть в сторону Direct Access, но не факт что данный сценарий применим к вам


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    5 октября 2018 г. 15:21
  • Попробуйте посмотреть в сторону Azure AD который можно подружить с вашими локальными АД.

    Архитектуры по типу вашей встречаются на моем пути не часто (ваша ситуация вторая), и здается мне что не у меня одного такой практики мизер :(
    Зато можете стать хорошим (уникальным) экспертом в таком вопросе :)


    The opinion expressed by me is not an official position of Microsoft

    5 октября 2018 г. 15:27
    Модератор
  • Так же есть FreeIPA. Хочется сделать авторизацию с помощью FreeIPA.

    Если будете использовать AD, и все сервера введёте в домен - то FreeIPA Вам не нужна. Использование FreeIPA будет анолагично ситуации, как если бы Вы купили автомобиль, и к нему эвакуатор (FreeIPA), который будет возить этот автомобиль.
    Как защитить AD - для этого надо знать точную схему Вашей инфрастурктуры.

    Все VPN можно поднимать на имеющихся серверах (если, конечно, они все Windows Server).

    А так да, любой сервис смотрящий наружу - всегда уязвим.

    Ps.: Linux так же поддерживает ввод в домен Active Directory.

    5 октября 2018 г. 15:50
    Модератор
  • Я может плохо разобрался в вопросе, но насколько я понял, Azure AD позволяет синхронизировать локальную AD c  Azure для авторизации на портале, как подключить туда Windows Server я найти информации не смог.

    PS. Пока смотрим в сторону pGina


    С уважением, Спицкий Никита

    6 октября 2018 г. 5:53
  • Смотрите, у меня все пользователи есть в  FreeIPA. Допустим я поднял AD, предлагайте мне всех пользователей ещё и там заводить? Или делать миграцию домена? Миграцию сделать не получится

    VPN поднять нельзя по техническим причинами


    С уважением, Спицкий Никита



    6 октября 2018 г. 5:54
  • предлагаю обратиться к разаработчику FreeIPA.

    По Вашим вопросам бех использования FreeIPA:

    1) Да, можно поднять AD на одном из серверов и настроить FireWall. Но всё равно это не даст 100% защиты.

    2) Не должно быть проблем. Обратитесь к разработчику FreeIPA.

    3) Не очень безопасно.

    6 октября 2018 г. 9:31
    Модератор