如果要使用Kerberos委派来构建安全的基础结构(并且您要这样做),则需要将这些Web服务器加入域. Web服务器(或服务帐户)将需要能够委派分配给它,以允许用户模拟您的sql服务器.
如果您有跟踪数据访问的任何审计或法定要求(HIPAA,SOX等),您可能希望远离在sql服务器上使用基于sql的身份验证.您应该通过您的配置过程跟踪访问(即谁在哪些组,如何获得批准以及由谁进行)以及对数据的所有访问都应通过用户指定的帐户进行.
对于DMZ issues related to accessing the AD,您可以使用只读DC(RODC)解决部分使用Server 2008的问题,但仍存在部署到DMZ的风险.还有一些方法可以强制DC使用特定端口穿透防火墙,但是这种类型的切割可能会使验证问题变得困难.
如果您有特定需要允许Internet和Intranet用户访问同一个应用程序,则可能需要使用其中一个联合服务产品(Microsoft产品或类似Ping Federated)进行调查.
原文地址:https://www.jb51.cc/windows/369510.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
