Intentando crear un sitio web de autorización de autenticación abierta para múltiples usuarios del dominio

1

No estoy seguro de que esto sea posible, pero en el peor de los casos, me dirán que no puedes hacer eso.

Nuestra organización tiene un servidor de informes que se encuentra en una DMZ a la que pueden acceder múltiples unidades que tienen sus propios dominios de Active Directory. No hay acceso a Internet a la DMZ (que es la única razón por la que estoy considerando esta solución porque me doy cuenta de que es una gran reducción de la seguridad). El servidor utiliza una base de datos de autorización para controlar qué enlaces y paneles son visibles y accesibles para el espectador. No se almacenan contraseñas en la base de datos, solo combinaciones de dominio / nombre de usuario.

Lo que nos gustaría que sucediera es esto. Queremos confiar en el hecho de que si el usuario ha iniciado sesión en su propio sistema y se ha autenticado en su AD, entonces ellos son quienes dicen ser. Comparamos su nombre de usuario con la base de datos de autorizaciones y les concedemos acceso según sus roles.

No podemos usar la autenticación anónima de IIS porque no podemos acceder al nombre de usuario que inició sesión en el espectador. El uso de cualquier otra autenticación no funciona porque el sitio solicita un nombre de usuario y una contraseña que no podemos autenticar contra varios dominios.

Esencialmente, queremos cortocircuitar la autenticación de Windows para que podamos ver el sitio automáticamente, pero también podemos recuperar el dominio y el nombre de usuario del usuario.

He visto muchas publicaciones de SSO, pero todas requieren que el usuario inicie sesión una vez en el nivel del sitio web y / o que se ocupe de varios sitios en los dominios. Parece ser un poco excesivo para este proyecto construir un dominio SSO para un sitio al que solo se accederá internamente.

    
pregunta C. Michael Warden 10.03.2016 - 20:25
fuente

1 respuesta

1

La autenticación automática solo funciona con proxies configurados manualmente (por ejemplo, cuando un navegador está configurado para usar un proxy, se puede configurar para hacer una "autenticación de Windows" automática para este proxy) por razones obvias de seguridad; la razón es que de lo contrario, cualquier sitio en todo el mundo podría obtener credenciales de autenticación de hash válidas, que podrían usarse en ataques de paso-hash.

Pero hay una solución que podrías usar: Configure su servidor AD, para registrar la IP del cliente de la computadora en cuestión, junto con el nombre de usuario / dominio, cuando se haya autenticado. Y configure el servidor de AD para eliminar este registro de IP cuando una computadora cierre la sesión.

Luego, en el sitio de intranet en cuestión, usas la IP del cliente para consultar la base de datos que AD creó y verifica qué nombre de usuario es.

Por supuesto, esto no daría, como usted dice, una alta seguridad, pero al menos daría algo de seguridad, mientras aún tiene la conveniencia de no tener que iniciar sesión todo el tiempo.

    
respondido por el sebastian nielsen 10.03.2016 - 20:49
fuente

Lea otras preguntas en las etiquetas