Active-Directory

我可以將代理使用者從單個 LDS 實例連結到多個域嗎?

  • April 6, 2012

我設置了 Active Directory 輕量級目錄服務。我有代表 Active Directory (Domain_A) 中使用者的對象。我已經設置了他們的 objectSID 屬性,使用者可以使用他們的 Active Directory 密碼向 LDS 進行身份驗證。我喜歡它。

這是成功的 LDS 代理身份驗證的格式化 Wireshark 網路跟踪:

LDAP bindRequest(1) "cn=ixe013,cn=Users,cn=Fizz,dc=Buzz,dc=tst" 簡單
KRB5 AS-REQ
KRB5 KRB 錯誤:KRB5KDC_ERR_PREAUTH_REQUIRED
KRB5 AS-REQ
KRB5 AS-REP
KRB5 TGS​​-REQ
KRB5 TGS​​-REP
LDAP bindResponse(1) 成功
LDAP 解除綁定請求(2)

我想從不同的 Active Directory (Domain_B) 引入新使用者,該使用者與 Domain_A 的 Active Directory 沒有任何信任關係。

一個 LDS 實例,兩個 Active Directory

有沒有辦法告訴 LDS 在哪個域中查找使用者,或者它是否總是在它所在的域中查找,也許是通過使用 Kerberos 以外的其他協議?

+我想通了使用者配置,不用提了。謝謝 !

使用 MS-LSAT 查找使用者代理上的 objectSID。http://msdn.microsoft.com/en-us/library/cc234496(v=prot.10).aspx有詳細資訊。在執行 BIND 時,在 LDS 伺服器上進行 netmon ( https://www.microsoft.com/download/en/details.aspx?displaylang=en&id=4865 ) 跟踪,看看會發生什麼。

一旦確定了使用者的域,它就會嘗試使用您進行 BIND 的主體的使用者名、域和密碼,以根據相關域的 DC 對其進行驗證。如果它可以找到 KDC,則根據您的圖表使用 Kerberos。

由於域 A 和 B 不信任 SID 查找將失敗。因此,您嘗試的此實現將不起作用。

引用自:https://serverfault.com/questions/371381