Sécurité pour une application Web via Active Directory

Question

Voici une situation à laquelle je m'adresse actuellement. Je travaille sur un projet Web dont la sécurité est liée à Active Directory. Ce qui signifie techniquement que lorsque vous ajoutez un utilisateur via l'application, nous ajoutons un nouvel utilisateur à Active Directory sur le serveur. Maintenant, ma question est la suivante: est-ce une bonne pratique?

À ce stade, je pense à une vulnérabilité qui est que vous pourriez faire un bureau à distance sur le serveur de déploiement avec le compte que vous avez créé via l'application (Corrigez-moi si je me trompe). Mais je veux juste confirmer ceci avant que je puisse informer ceci à mon architecte.

Toutes les suggestions seront grandement appréciées.

En attente de votre réponse.

Answer 1

Si l'application Web est autorisée à créer des comptes dans Active Directory, cela signifie que l'application Web dispose vraisemblablement d'un compte avec des droits d'administration (éventuellement limités) sur le domaine Active Directory. Cela pourrait potentiellement être utilisé pour toutes sortes de mauvaises choses si vous ne faites pas attention. Si vous voulez continuer, la première étape, si vous ne l'avez pas déjà fait, consiste à déléguer des droits d'administration au compte de votre application Web afin qu'elle ne puisse créer que des comptes au sein d'une unité d'organisation particulière. Voir this article pour les détails, ou recherchez Google pour d'autres descriptions. Vous voudrez probablement également configurer des stratégies de groupe et des appartenances à des groupes pour restreindre davantage les comptes nouvellement créés (par exemple, en désactivant Remote Desktop), et vous souhaiterez le faire d'une manière qui ne repose pas sur l'application Web faire la bonne chose (comme une couche de sécurité supplémentaire au cas où l'application Web est compromise).

ServerFault serait un meilleur endroit pour découvrir le modèle de sécurité d'Active Directory et comment configurer au mieux ces diverses restrictions.

Enfin, si vous n'avez pas besoin de pour que les utilisateurs soient automatiquement créés dans votre domaine Active Directory, alors vous devriez envisager d'autres approches. Si vous souhaitez utiliser Active Directory comme source d'authentification utilisateur stable et robuste, par exemple, vous pouvez utiliser Active Directory Lightweight Directory Services (anciennement connu sous le nom de Mode Application Active Directory) pour obtenir les fonctionnalités d'Active Directory sans affecter la sécurité de votre domaine.