Active-Directory
OpenLDAP 代理:在 Active Directory 主伺服器無法訪問的情況下記憶體憑據
我在我的公司中設置了一個 Debian 伺服器,使用者在 Active Directory 中進行管理。
我想使用 AD 對使用者進行身份驗證,但我認為如果可行的話,讓本地 OpenLDAP 進行身份驗證會更好,以防 AD 伺服器或網路出現故障。
我看過有關設置直通身份驗證的教程
但它沒有說明如果無法訪問 AD 伺服器會發生什麼。AFAIU,請求失敗。
這裡有人建議使用OpenLDAP Proxy Cache Engine設置高 TTL。
我應該複製整個目錄嗎?我不介意新使用者是否無法通過身份驗證。如果可以使用上次接受的密碼對本地已知的使用者進行身份驗證,我會很高興。所以最簡單的解決方案是我最喜歡的。
我搜尋了很多術語,包括記憶體/記憶體、副本等。我沒有找到任何“grab-my-hand-and-show-me-how-to-do-that-on-debian-jessie”步驟- 一步一步的解決方案,所以我認為相對標準的東西實際上有點棘手。
我不確定您是否在詢問一般情況下如何讓 Debian 伺服器對 Active Directory 進行身份驗證/授權……或者如何確保現有的身份驗證/授權高度可用。我將在這個答案中假設後者。
簡短的回答是,將 OpenLDAP 設置為 Active Directory 的記憶體層是愚蠢的。AD 是一個多主複製數據庫。如果您需要高可用性,只需提出另一個。如果您的 DC 位於您擔心失去連接的不同網段中,請在您的本地網段中啟動一個(或兩個)DC,並在 AD 中設置必要的站點拓撲。