- おぷと
- 会議室デビュー日: 2009/04/08
- 投稿数: 2
|
投稿日時: 2009-04-08 02:46
現在弊社のネットワークは以下のような構成です。
| コード: |
|
internet
|
[ルータ]---------------------------------------------
| | | |
| [公開Webサーバ(1)] [社内WebAPサーバ(2)] [DMZ用ActiveDirectory(3)]
|
------------------------------
| |
[LAN用ActiveDirectory(4)] *社内LAN*
|
弊社は出先勤務社員が大変多く、出向先からも(2)にアクセスするための構成です。(2)への認証は(3)が担っています。また、出向先の規定によりVPNは導入できません。
この構成では、以下のような問題点が判明しています。
- LAN内から(2)にアクセス時、(4)→(3)と2度認証をうけるため、社員が混乱する
- DMZ上の(2)に機密情報(サイボウズ)があり、漏えいの可能性がある
そこで、リバースプロキシを利用し、以下のような構成にしたいと考えています。
| コード: |
|
internet
|
[ルータ]-----------------------
| | |
| [公開Webサーバ(a)] [リバースプロキシサーバ(b)]
|
----------------------------------------------------
| | |
[LAN用ActiveDirectory(c)] [社内WebAPサーバ(d)] *社内LAN*
|
社外から(d)へのアクセスは、(b)が代理で行う構成(のつもり)です。各サーバはすべてWindows2003。(b)はISAと考えております。
上記のような構成のとき、以下のことに自信が持てません。みなさまの助力を仰げれば幸いです。
- そもそも、こんな構成はあり得るのか (社外から(d)にアクセスできるのか)
- 社外から(d)にアクセス時、(c)で認証させることはできるのか
- (a)に(b)の機能を同居させることはできるのか
何卒よろしくお願いいたします。
|
|---|
- たらお
- 大ベテラン
- 会議室デビュー日: 2006/12/25
- 投稿数: 206
- お住まい・勤務地: 東京・永代通り
|
投稿日時: 2009-04-08 06:17
| 引用: |
|
1.そもそも、こんな構成はあり得るのか (社外から(d)にアクセスできるのか)
2.社外から(d)にアクセス時、(c)で認証させることはできるのか
3.(a)に(b)の機能を同居させることはできるのか
|
1.社外からは、DMZのプロキシまでアクセスできれば良いかと。
2.厳密には、プロキシでの認証時にADを参照する構成でしょう。
3.負荷が少なければTCP80でWeb、TCP80以外でプロキシなどを受けられます。
補足しますが、社外からADを直接参照することもFWポリシー次第ですが、
外部からのTCP445を許すことになるゆえ、ウォームの挙動との区別が難しいので、
セキュリティ事由からお勧めできません。
ISAを利用するなら、プロキシからADの参照は容易だと思われますが、
(既存)Webサーバとの同居は作法上どうなのか微妙です。
こんな時に仮想化は便利そうですね。
_________________
_福田太郎_
|
|---|
- おぷと
- 会議室デビュー日: 2009/04/08
- 投稿数: 2
|
投稿日時: 2009-04-09 00:38
たらお様、ご回答ありがとうございます。
自分の構想が、そこまで的外れではなかったことに、ちょっと安心しました。
| 引用: |
|
補足しますが、社外からADを直接参照することもFWポリシー次第ですが、
外部からのTCP445を許すことになるゆえ、ウォームの挙動との区別が難しいので、
セキュリティ事由からお勧めできません。
|
これは、外部から直接LAN内のADにアクセスするケースということですよね?例えばLAN内のADにグローバルIPを振る(あるいはNAPTする)ことによって。
たらおさんがおっしゃるとおり、ちょっとセキュリティ的に怖いので、それはやめておこうと思います。
まだちょっと疑問に思っている点があります。
リバースプロキシが社内WebAPサーバへ要求する際に、どのタイミングで認証されるのかということです。
- リバースプロキシにアクセス時に社内ADに問合せ、その後社内WebAPサーバに要求を出すのか
- リバースプロキシが社内WebAPサーバに要求した際、社内WebAPサーバがADに問い合わせるのか
質問が、あいまいなのが心苦しいですが、何卒ご教授いただけないでしょうか。
|
|---|
- たらお
- 大ベテラン
- 会議室デビュー日: 2006/12/25
- 投稿数: 206
- お住まい・勤務地: 東京・永代通り
|
投稿日時: 2009-04-09 10:06
具体的な、認証のプロセスですね。
まず、現状を整理してみます。
| コード: |
|
[社内LAN→社内Web]
・AD認証が先のパターン
(ユーザ) (社内AD) (社内Web)
|→認証要求→| |
|←─AD認証←| |
|→コンテンツ要求───→|
| |←AD参照←|
| |→応答○→|
|←─────コンテンツ←|
・ユーザがAD認証してないパターン
(ユーザ) (社内AD) (社内Web)
|→コンテンツ要求───→|
| |←AD参照←|
| |→応答▲→|
|←─認証ダイアログ表示←|
|→──────認証要求→|
| |←AD参照←|
| |→応答○→|
|←─────コンテンツ←|
という流れで、合っているでしょうか?社外もこれに準じる形と思われます。
したがって、構成変更後の社外アクセスフローは、
[社外→DMZプロキシ→社内Web]
・プロキシで認証するパターン
(ユーザ) (DMZプロキシ) (社内AD) (社内Web)
|→コ要求─→| | |
| |→AD参照→| |
| |←応答▲←| |
|←認証窓表示| | |
|→認証要求→| | |
| |→AD参照→| |
| |←応答○←| |
| |→コンテンツ要求転送→|
| |←────コンテンツ←|
|←コンテンツ|
・Webで認証するパターン
(ユーザ) (DMZプロキシ) (社内AD) (社内Web)
|→コ要求─→| | |
| |→コンテンツ要求→→→|
| | |←AD参照←|
| | |→応答▲→|
| |←────認証窓表示←|
|←─認証窓←| | |
|→認証要求→| | |
| |→認証要求─────→|
| | |←AD参照←|
| | |→応答○→|
| |←────コンテンツ←|
|←コンテンツ|
*こっちは、ADとWebの位置を変えたほうが見やすいかも;
|
ADからDMZへの通信が発生するのが嫌なら、後のパターンですね。
_________________
_福田太郎_
|
|---|
