Действительно ли это - плохая практика для помещения внешних пользователей в Active Directory?
Попробуйте это:
Iterator<TaskCard> i = taskManager.getTaskCards().iterator();
while (i.hasNext()) {
TaskCard taskCard = i.next();
taskCard.updateTask();
ReturnInterface<String> returnInterface = new TaskReturnIterface(taskManager, taskCard);
Task task = taskCard.getTask();
final ProtocolInterface selectedProtocol = task.getDevice().getSelectedProtocol();
selectedProtocol.setTask(task);
selectedProtocol.setReturnInterface(returnInterface);
SwingUtilities.invokeLater(new Runnable() {
@Override
public void run() {
System.out.println("[Taskmanager.TaskReturnInterface.actionPerformed.RUN()]selectedProtocol device= " + selectedProtocol.getDevice());
}
});
}
3 ответа
Создайте новый AD лес для своих внешних пользователей, Вы, возможно, должны были бы настроить некоторую лучшую безопасность, но эти два могут быть соединены для бесшовной аутентификации.
Необходимо будет сказать им использовать другой домен при вхождении в систему (например, обычные пользователи используют 'mycorp', внешние пользователи используют 'externalcorp'), но иначе это полностью прозрачно.
Да, это - плохая практика для помещения внешних пользователей в тот же AD как внутренние пользователи. Разделите счета по внешним расчетам и проверьте ADAM для аутентификации внешнего пользователя.
Я думаю вопрос, который необходимо задать, не то, если хранение счетов по внешним расчетам в активном каталоге плохо, а при хранении учетных записей в том же лесу, как счета по внутренним расчетам плохи. Это, может быть сделан, но я был бы склонен соглашаться с Упавшим, что я не помещу счета по внешним расчетам в тот же лес с внутренними.
В прошлом, когда мы использовали AD хранилище для размещения счета по внешним расчетам, мы создали новый лес и разместили внешних пользователей туда и затем доверяли двум доменам. По-моему, это - более оптимальный вариант, потому что самые высокие пользователи доступа имеют к внутренней сети, ограничен доверием и не учетной записью пользователя. Если домен состоится, можно всегда завершать работу его, и Вы будете знать, что ничто с внешним не может получить доступ к внутренним сетям. Это также позволяет Вам иметь различную политику безопасности между внешними и внутренними пользователями.