Web services 使用WS-gateway和LDAP向web服务提供AAA的最优雅、最有效的方法是什么？_Web Services_Security_Gateway_Sts Securitytokenservice_Aaa Security Protocol

Web services 使用WS-gateway和LDAP向web服务提供AAA的最优雅、最有效的方法是什么？

web-services security

Web services 使用WS-gateway和LDAP向web服务提供AAA的最优雅、最有效的方法是什么？,web-services,security,gateway,sts-securitytokenservice,aaa-security-protocol,Web Services,Security,Gateway,Sts Securitytokenservice,Aaa Security Protocol,我正在寻找向web服务提供授权、身份验证和审核的最佳方法。我将使用部署到DMZ的web服务网关设备，在防火墙后面将有一个LDAP实例作为用户存储。它应该如何建造干杯 KA 更新正如下面的回答所指出的，LDAP并不适合审计。我们现在正在考虑为该功能调用CRM系统，因为我们可以按客户审核使用情况。身份验证是相当标准的。尝试验证用户名和密码时，首先绑定为具有查看所有用户权限的用户，并在相应字段（可能是“uid”）中搜索具有提供用户名的条目。找到条目后，获取其DN并尝试使用提供的密码绑定为该条目授

我正在寻找向web服务提供授权、身份验证和审核的最佳方法。我将使用部署到DMZ的web服务网关设备，在防火墙后面将有一个LDAP实例作为用户存储。它应该如何建造

干杯

更新

正如下面的回答所指出的，LDAP并不适合审计。我们现在正在考虑为该功能调用CRM系统，因为我们可以按客户审核使用情况。

身份验证是相当标准的。尝试验证用户名和密码时，首先绑定为具有查看所有用户权限的用户，并在相应字段（可能是“uid”）中搜索具有提供用户名的条目。找到条目后，获取其DN并尝试使用提供的密码绑定为该条目

授权通常通过“动态组”进行处理，在“动态组”中，每个用户对象中都有一个多值属性，说明用户拥有哪些权限；或者使用“静态组”，在“静态组”中，您拥有类似于“groupOfNames”的类的对象，并将所有成员的DNs粘贴到“member”属性中

你喜欢怎么做就怎么做。LDAP可能不是保存审核数据的最佳方式。如果愿意，您可以将其粘贴到数据库中，或者只使用syslog。

很酷，很好的信息。谢谢后续电话如何处理？通过令牌？这取决于程序员。您可以每次都返回LDAP（如果您有足够低的容量/功能强大的LDAP服务器），也可以缓存结果。您可以在会话中缓存，也可以使用全局权限缓存。什么是最好的将取决于你的应用程序的其余部分。