Hat, mit ertunk AD alatt ugye.
Az AD alapvetoen ket reszbol tevodik ossze: van egy LDAP szerverunk, es van egy, a Windowsba beepitett RPC kiszolgaloba beepulo szolgaltatascsomagunk.
Ha az LDAP vege (foleg mondjuk az SSL-es) kilatszik a net fele, az nem olyan gaz. Persze, gaz, ha sebezheto, feltorhetik, de ez kb. mindenre igaz, ami a netre nez. De korulbelul akkora kockazat, mint egy netre nezo mysql - ha jol meg van hatarozva, ki ferhet hozza, a tobbieket pedig meg IP szinten elhajtjuk a fenebe, az nagyban csokkenti a kockazatot. Es szerintem van proxy is LDAP-hoz.
Ami cinkesebb, az az RPC szerver, ehhez ugyanis se proxy, se mas alkalmazasszintu vedelem nem igazan letezik, SSL altal nem vedett, igy kb. a legjobb, ha rejtve marad. Az IP szintu hozzaferes is azert cinkes, mert mig az LDAP-hoz lehet mondani, hogy user/pass vagy kuss, itt mar vannak anonim szolgaltatasok is - ami problemas lehet.
Szoval, mondd meg mit szeretnel valojaban, es megmondjuk, okes-e.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal