[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2007 ml@sikurezza.org Soggetto: Re: [ml] Disegno sicuro per server FTP. Mittente: Luca Berra Data: Thu, 27 Sep 2007 09:39:57 +0200 (CEST)On Tue, Sep 25, 2007 at 11:06:11PM +0200, Gabriele Scolaro wrote:
From: Luca Berra la nota in fondo a 179442 fa seriamente pensare che sia tutta fatica inutile :D
Forse sarebbe meglio mettere 2 foreste (1 in "DMZ di Produzione" e 1 in "Intranet) non TRUSTATE e sincronizzate con MIIS, oppure federate con ADFS (ADFS Proxy in DMZ)? In questo ultimo caso credo che le applicazioni debbano essere claim-aware.... :-(
La prima delle due ipotesi sembra presentare alcuni vantaggi aggiuntivi, rispetto alla trust, come la possibilita' di decidere quali account debbano essere replicati in DMZ. ADFS proprio non lo conosco, credo di aver capito che c'e' un coso che intercetta le chiamate di autenticazione NT e le gira in richieste ADFS, ma non ci giuro.
>Personalmente userei un Adam o un Read Only Domain Controller windows >server 2008
ma adam e' un server ldap, non permette di fare autenticazione/trust/repliche Active Directory e RDOC e' in beta :D
ADAM fa solo autenticazione in "LDAP bind", no trust ma si può replicare con
Si, ma il tuo Titan non usava AD, o fa anche LDAP bind?
AD tramite ADAMSync o Identity Integration Feature Pack for Microsoft Windows Server Active Directory
A questo punto puoi decidere di usare qualsiasi cosa che sia supportato da MIIS e dalle applicazioni che vuoi mettere in quella DMZ, direi che la scelta sara' guidata dalle applicazioni.
L.
--
Luca Berra -- bluca@xxxxxxxxxx
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005