salve,

chiedo nella speranza che la mia domanda trovi risposta ad un quesito che sinceramente non saprei neanche come poter proporre ad un motore di ricerca (ci ho provato, per quello, ma senza risultato)

il problema, o meglio richiesta di chiarimenti, è molto semplice.

Ho trovato on line un semplice sito web in php per le prenotazioni di aule, sale e quant'altro, una delle sue particolarità è che si può collegare in active diretory (server window) al fine di utilizzare gli utenti in essa contenuti senza doverli ricreare in un db mysql o altro.

comodo, pratico e veloce, e soprattuto, gli utenti la password in questione la devono sapere per forza!

a seguito di richieste da parte di alcuni utenti, volevo offrire la possibilità di effettuare queste prenotazioni anche da casa loro e non solo all'interno della nostra LAN.

il farlo è molto semplice e qui non ho problemi di sorta, ma ho dubbi relativi al fatto che "aprendo" al mondo un sito web che è collegato in active directory mi apra un buco colossale nella sicurezza interna della rete.

Ovvio che se metto un web server un buco bene o male lo creo, ma collegare questo web server alla AD è potenzialmente pericoloso o di per se non corro rischi? In caso, quali precauzioni potrei prendere per limitare i rischi?

per bypassare anche alcuni scipt di exploit volevo mettere tale sito in una sotto sotto direcotory, in questo modo dovrei limitare alcuni tentativi di accesso da parte di smanettoni/script

grazie

Samuel

- permetti l'accesso all'Active Directory all'applicazione PHP con un utente che abbia i privilegi di sola lettura sul directory
- se il software è mantenuto attivamente fai in modo di essere sempre informato sugli aggiornamenti
- cura la configurazione del webserver su cui lo installi eliminando le funzionalità non utilizzate e, anche qui, segui costantemente patch e aggiornamenti
- se sei in grado valuta l'installazione di un firewall applicativo come apache+mod_security

grazie per la risp.

si la connessione in AD avviene già tramite utente limitato

il "server" in questione conterrà esclusivamente sshd, apache, php e basta

del mod_security non sapevo nulla, ci darò un occhio e vedo se riesco a capirci qualcosa :)

non so come funzioni AD, ma sostanzialmente gli utenti dovrebbero stare su un server LDAP (o pseudo-tale).
Come minimo dovresti controllare quello, visto che in esso ci sono tutte le autorizzazioni.

Premetto che penso lo facciano in pochissimi:
In alternativa, potresti migrare da AD a samba + ldap. Puoi mettere il webserver (apache) in dmz e tutto il resto in lan (anche se a rigore in server in dmz non dovrebbe in nessun modo poter effettuare una connessione verso la lan).
Poi con ldap (puro) puoi divertirti quanto vuoi.

potresti anche limitare l'accesso attraverso una VPN, facendo un utente per ogni persona che vuole collegarsi. in questo modo non esponi il server su internet e solo chi ha user e pass per accedere in VPN puo' usufruire del servizio.

ciao

la vpn era un'ipotesi che avevo preso in considerazione in effetti, di per se mi limitava il lavoro, ma essendo gli utenti molto utonti, prevedo che ci saranno sicuri casini :rolleyes: (inoltre gli utenti sarebbero almeno 80 se non di piu)

in ogni caso proverò anche la vpn (magari per prima), poi chissà, magari se si accorgono che possono accedere anche al server magari troveranno la cosa ancora più utilie.

i primi di gennaio vedrò di fare alcuni test tramite vpn e anche con web server e modulo security

grazie mille per le risposte

P.S.: la migrazione windows -> linux non è attuabile, però, se fosse fattibile, potrei provare a creare un ldap server sul serverino linux (in dmz) e su questo scaricare le unità organizzative (che mi interessano) del server win... in questo modo tale server risulterebbe totalmente isolato dalla rete... unica pecca è il fatto che ldap lo conosco pochissimo se non nulla

come da suggerimento sto provando le vpn... e forse è la via più pratica e "sicura"

inoltre, darebbe l'opportunità (al momento disabilitata) di accedere ai propi file sul server anche da casa

sto sperimentando un po di connessioni e se tutto va bene, la sett prox darò i file necessari e le istruzioni (con tanto(e) di immagini) per l'installazione di openvpn (sotto vista, su xp va benone la portable!)