J'ai récemment fait évoluer le contrôleur de domaine de ma société afin qu'il soit basé sur un annuaire ldap et je branche petit à petit l'authentification des différentes applications sur le ldap.
Il se trouve que nous avons pas mal d'applications disponibles sur notre DMZ et j'aimerais que l'authentification soit branchée elle aussi sur le ldap.
Le truc c'est que permettre aux différentes machines de la DMZ d'accéder au serveur ldap (qui est aussi le contrôleur de domaine samba/dns/dhcp) ne me plait pas trop niveau sécurité.
J'ai bien pensé à mettre en place un autre annuaire ldap sur la dmz (ldapdmz) qui répliquerait la partie "users" du ldap maître (ldapmaster) afin que les différents services de la dmz puissent s'authentifier à ldapdmz sans avoir accès à ldapmaster mais je ne sais pas si c'est une bonne méthode même si c'est déjà un peu mieux (moins pire ?).
Je pense que des gens parmi vous ont déjà réfléchi à ce genre de problématique. Peut-être pourriez-vous me faire part de vos expériences/architectures à mettre en place (même éventuellement me dire qu'il ne faut carrément pas faire ça; c'est aussi envisageable
).