On Tue, Sep 25, 2007 at 11:06:11PM +0200, Gabriele Scolaro wrote:
From: Luca Berra
la nota in fondo a 179442 fa seriamente pensare che sia tutta fatica
inutile :D
Forse sarebbe meglio mettere 2 foreste (1 in "DMZ di Produzione" e 1 in
"Intranet) non TRUSTATE e sincronizzate con MIIS, oppure federate con ADFS
(ADFS Proxy in DMZ)? In questo ultimo caso credo che le applicazioni debbano
essere claim-aware.... :-(
La prima delle due ipotesi sembra presentare alcuni vantaggi aggiuntivi,
rispetto alla trust, come la possibilita' di decidere quali account
debbano essere replicati in DMZ.
ADFS proprio non lo conosco, credo di aver capito che c'e' un coso che
intercetta le chiamate di autenticazione NT e le gira in richieste ADFS,
ma non ci giuro.
>Personalmente userei un Adam o un Read Only Domain Controller windows
>server 2008
ma adam e' un server ldap, non permette di fare
autenticazione/trust/repliche Active Directory e RDOC e' in beta :D
ADAM fa solo autenticazione in "LDAP bind", no trust ma si può replicare con
Si, ma il tuo Titan non usava AD, o fa anche LDAP bind?
AD tramite ADAMSync o Identity Integration Feature Pack for Microsoft
Windows Server Active Directory
A questo punto puoi decidere di usare qualsiasi cosa che sia supportato
da MIIS e dalle applicazioni che vuoi mettere in quella DMZ, direi che la
scelta sara' guidata dalle applicazioni.
L.
--
Luca Berra -- [EMAIL PROTECTED]
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
