Bonjour,
 
sur une infra réseau classique, nous avons des serveurs dans un sous-réseau physique dédié, et d'autres serveurs en DMZ pour qu'ils soient accessibles depuis l'extérieur.
Sur ces serveurs en DMZ, nous avons une authentification LDAP. Aujourd'hui le service LDAP se trouve aussi en DMZ. Je me pose la question de savoir si ce service doit être situé en DMZ ou pas.
 
Plus précisemment, la DMZ est un sous-réseau privé derrière un routeur/firewall, avec du nat & redirection de port. Seuls certains ports sont ouverts en entrée.
 
Question pratique / sécurité donc. Quel est la meilleure solution:
- laisser le service LDAP en DMZ, mais du coup toute ma base est en DMZ, et donc si un serveur est corrompu on peut "facilement" accéder au service ldap.
- mettre le service LDAP dans le sous-réseau des serveurs internes, et donc créer une règle de firewall depuis la DMZ vers le sous-réseau serveurs.
 
Et chez vous, comment faites vous ?
 
Merci !    

Pas le plus grand spécialiste mais pour moi le LDAP en DMZ c'est juste inconcevable.
 
Perso, je mettrais l'annuaire dans le réseau privé, et en DMZ je monterais un RODC (Read OnlyDC) avec seulement les comptes que j'utilise.

tu peux aussi créer une DMZ dédiée pour ton LDAP, ce qui limite les possibilités de rebond entre les serveurs en DMZ et le LDAP.

Salut,
 
je pense mettre mon LDAP dans le meme réseau que mes serveurs privés, et monter un 2eme LDAP en RO synchronisé avec le 1er, seulement avec les infos nécessaires aux serveurs de la DMZ.

le RODC c'est très documenté et très rapide à mettre en place.
 
Good Luck.