sslug-teknik team mailing list archive

[Jon Bendtsen <bendtsen@xxxxxxx>]

On 01/11/2011, at 22.38, Björn Lundin wrote:
> Hej!
> På jobbet har jag lite tekniska problem, som jag tänkte att jag inte kan vara ensam om.
> 
> Vi har en subversion server, som sitter i DMZ på företaget.
> Det är en windows, med gammal svn-version, som skall uppgraderas.
> Lösenord/passeord sker med lokal htpasswd.
> 
> Givetvis är detta inte bra.
> 
> Vi har nu satt upp, i dmz, en linuxbox, som kör subversion.
> denna gör uppslag mot företagets AD som sitter inne i nätet. 
> 
> MEN, även om den sitter i dmz, så har IT-avdelningen inte öppnat för
> trafik från internet, för att maskinen gör ldap-uppslag mot det interna AD:t

Hvorfor skal den linuxbox have adgang til internettet? Egentlig behøver den vel kun adgang til software- og sikkerhedsupdates.


> Säkerhetsrisk, säger alla.
> 
> Så då skapas ett  externt AD, som sitter på en maskin i dmz. 
> Det finns någon form av trust/push mellan det interna och externa ad:t
> så att subversionservern ska kunna köra ldap mot det externa AD:t, 
> utan säkerhetsrisk. 
> 
> Problemet blir då att det externa ad:t inte ser likadant ut som det interna.
> ms har lyckats ändra formatet på det externa, med pekare till strukturer , istället för data.
> 
> Ad är windows modell 2008 r2 .
> 
> Frågan/spörsmålet är : hur hanteras detta i andra företag?

Jeg har adgang til både internet og den interne AD.


> Hur sätter vi upp ett ad, som en linuxburk kan slå mot, som är en 'slav' till ett internt ad?

Opsæt en ldap slave? Eller en 2. domain controller?



Hvis jeres AD giver certifikater til hver eneste bruger så kan jeres subversion server bare kræve et client certifikat som så skal installeres på jeres SVN clienter.




JonB