我们在DMZ中几乎没有面向客户的服务器也有用户帐户,所有帐户都在影子密码文件中.
我正在尝试整合用户登录并考虑让局域网用户对Active Directory进行身份验证.需要身份验证的服务是Apache,Proftpd和ssh.
在咨询安全团队之后,我已经设置了具有LDAPS代理的身份验证DMZ,该代理又与LAN中的另一个LDAPS代理(proxy2)联系,并且这个通过LDAP(作为LDAP绑定)将身份验证信息传递给AD控制器.仅需要第二个LDAP代理,因为AD服务器拒绝使用我们的安全LDAP实现来讲TLS.
这适用于使用适当模块的Apache.稍后我可能会尝试将客户帐户从服务器移动到LDAP代理,这样它们就不会分散在服务器周围.

对于SSH,我将proxy2加入了Windows域,因此用户可以使用他们的Windows凭据登录.然后我创建了ssh密钥并使用ssh-copy将它们复制到DMZ服务器,以便在用户通过身份验证后启用无密码登录.

这是实施这种SSO的好方法吗？我在这里是否遗漏了任何安全问题,或者有更好的方法来实现我的目标？