In einigen Umgebungen wird man bei dem Vorhaben "LDAP-Server für eine Cloud freigeben" Sicherheitsbedenken haben.
Das ist auch vollkommen verständlich, immerhin betreffen die freigegebenen Informationen wichtige Daten eurer Mitarbeiter.
Eine VPN-Verbindung in unsere Cloud können wir infrastrukturell nicht anbieten, daher ist hier ein Vorschlag, wie dies trotzdem mit entsprechender Sicherheit realisiert werden kann:
- LDAPS
In der Cloud gibt es die Möglichkeit LDAPS (LDAP over SSL) zu verwenden.
Die Voraussetzung dafür sind:
- LDAPS: Eurer LDAP-Server kann verschlüsselt kommunizieren.
- Das SSL Zertifikat muss von einer offiziellen Zertifikatsstelle stammen. - DMZ
Außerdem könnt ihr euer Netzwerk absichern, wenn ihr für COYO z. B. einen Read-Only-Domain Controller in einer DMZ verwendet.
Die Architektur könnte wie folgt aussehen:
Zusätzlich könnt ihr das Netzwerk dieser DMZ nur für die IP-Adressen unserer Backends freigeben.
