En termes de sécurité et de gérabilité - quelle est la meilleure pratique ?
Les serveurs web devraient-ils
ou
Il n’y a pas d’exigence d’avoir des comptes utilisateurs sur les serveurs web, seulement des comptes de gestion (gestion du serveur, rapports système, déploiement de contenu, etc.)
Si vous voulez utiliser la délégation Kerberos pour construire une infrastructure sécurisée (et VOUS LE VOULEZ), vous devrez joindre ces serveurs web au domaine. Le serveur web (ou le compte de service) aura besoin de la capacité de déléguer qui lui est assignée afin de permettre l’usurpation d’identité des utilisateurs contre votre serveur SQL.
Vous voudrez probablement éviter d’utiliser l’authentification basée sur SQL sur le serveur SQL si vous avez des exigences d’audit ou réglementaires pour le suivi de l’accès aux données (HIPAA, SOX, etc.). Vous devriez suivre l’accès via votre processus de provisionnement (c.-à-d. qui est dans quels groupes, comment cela a été approuvé et par qui) et tout accès aux données devrait se faire via le compte assigné à l’utilisateur.
Pour les problèmes de DMZ liés à l’accès à l’AD, vous pouvez résoudre une partie de cela avec Server 2008 en utilisant un contrôleur de domaine en lecture seule (RODC), mais il y a toujours un risque à déployer dans la DMZ. Il existe aussi des moyens de forcer un DC à utiliser des ports spécifiques pour passer à travers un pare-feu, mais ce type de personnalisation peut rendre difficile le dépannage des problèmes d’authentification.
Si vous avez des besoins spécifiques pour permettre à la fois aux utilisateurs Internet et Intranet d’accéder à la même application, vous devrez peut-être envisager l’utilisation de l’un des produits de services fédérés, soit l’offre Microsoft, soit quelque chose comme Ping Federated.