通過Active Directory爲Web應用程序提供安全性

Question

這是我目前正在處理的一種情況。我正在開發一個Web項目，其安全性與Active Directory綁定在一起。這意味着在技術上，當您通過應用程序添加用戶時，我們會向服務器上的Active Directory添加新用戶。現在我的問題是，這是一個好習慣嗎？

在這一點上我覺得vulnerabilty這是你可以做一個遠程桌面上與您通過應用程序創建的帳戶部署服務器（請糾正我，如果我錯了）。但我只是想確認一下，然後才能將此通知給我的架構師。

任何建議將深受讚賞。

等待你的答覆。

Answer 1

如果Web應用程序有權限創建在Active Directory帳戶，那麼這意味着Web應用程序可能有（可能是有限的）到Active Directory域管理權限的帳戶。如果你不小心，這可能會被用於各種不好的事情。

如果你想繼續，那麼第一步，如果你還沒有這樣做，就是要委派管理權限到Web應用程序的帳戶，以便它只能創建一個特定的OU中的帳戶。有關詳細信息，請參閱this article，或者搜索Google以獲取其他說明。

您可能還需要設置組策略和組成員身份以進一步限制新創建的帳戶（例如，禁用遠程桌面），並且您希望以不依賴於在Web應用程序上做正確的事情（作爲Web應用程序受到攻擊時的額外安全層）。

ServerFault將是一個更好的地方，找出有關Active Directory的安全模型以及如何最好地設置這些各種限制。

最後，如果您不需要需要讓用戶在您的Active Directory域中自動創建用戶，那麼您應該考慮其他方法。如果你只打算使用Active Directory用戶認證的穩定，堅固的來源，例如，那麼你可以使用Active Directory Lightweight Directory Services（以前稱爲Active Directory應用程序模式），以獲得Active Directory中的功能，而無需對您的域的安全性有任何影響。