Cercando di creare un sito Web di autorizzazione controllato con autenticazione aperta per più utenti del dominio

1

Non sono sicuro che sia possibile, ma nel peggiore dei casi, mi verrà detto che non puoi farlo.

La nostra organizzazione dispone di un server di report che si trova in una DMZ accessibile da più unità con i propri domini Active Directory. Non c'è accesso a Internet per la DMZ (che è l'unica ragione per cui sto considerando questa soluzione perché mi rendo conto che si tratta di una grande riduzione della sicurezza). Il server utilizza un database di autorizzazione per controllare quali collegamenti e pannelli sono visibili e accessibili al visualizzatore. Nessuna password è memorizzata nel database, solo le combinazioni Dominio \ Nome utente.

Ciò che vorremmo accadesse è questo. Vogliamo fare affidamento sul fatto che se l'utente ha firmato nel proprio sistema e si è autenticato contro il loro annuncio, allora sono chi dicono di essere. Confrontiamo il loro nome utente con il database di autorizzazione e concediamo loro l'accesso in base ai loro ruoli.

Non possiamo usare l'autenticazione anonima di IIS perché non possiamo accedere al nome utente registrato dell'utente. L'utilizzo di qualsiasi altra autenticazione non funziona perché il sito richiede quindi il nome utente e la password che non possiamo autenticare contro più domini.

In sostanza, vogliamo mettere in cortocircuito l'autenticazione di Windows in modo da consentire loro automaticamente di vedere il sito, ma possiamo anche recuperare il dominio e il nome utente dello spettatore.

Ho esaminato molti post SSO ma tutti richiedono che lo spettatore effettui l'accesso una volta a livello di sito Web e / o gestisca più siti nei domini. Sembra essere un po 'eccessivo per questo progetto costruire un dominio SSO per un sito a cui sarà possibile accedere solo internamente.

    
posta C. Michael Warden 10.03.2016 - 20:25
fonte

1 risposta

1

L'autenticazione automatica funziona solo per i proxy configurati manualmente (ad esempio, quando un browser è impostato per utilizzare un proxy, può essere configurato per eseguire un'autenticazione automatica di Windows per questo proxy) per ovvi motivi di sicurezza - il motivo è che altrimenti, qualsiasi sito in tutto il mondo sarebbe in grado di ottenere credenziali di autenticazione hash valide, che potrebbero essere utilizzate in attacchi pass-the-hash.

Ma c'è una soluzione che potresti usare: Configura il tuo server AD, per registrare l'IP client del computer in questione, insieme a nome utente / dominio, una volta autenticato. E configura il server AD per eliminare questo record di IP quando un computer si disconnette.

Quindi, nel sito intranet in questione, si utilizza l'IP del client per interrogare il database creato da Active Directory e verificare quale nome utente sia.

Ovviamente, questo non dovrebbe, come dici tu, dare un alto livello di sicurezza, ma darebbe comunque un po 'di sicurezza, pur mantenendo la comodità di non dover effettuare il login per tutto il tempo.

    
risposta data 10.03.2016 - 20:49
fonte

Leggi altre domande sui tag