OpenLDAP 代理：在 Active Directory 主伺服器無法訪問的情況下記憶體憑據

我在我的公司中設置了一個 Debian 伺服器，使用者在 Active Directory 中進行管理。

我想使用 AD 對使用者進行身份驗證，但我認為如果可行的話，讓本地 OpenLDAP 進行身份驗證會更好，以防 AD 伺服器或網路出現故障。

我看過有關設置直通身份驗證的教程

• https://wiki.debian.org/LDAP/PAM
• http://ltb-project.org/wiki/documentation/general/sasl_delegation

但它沒有說明如果無法訪問 AD 伺服器會發生什麼。AFAIU，請求失敗。

這裡有人建議使用OpenLDAP Proxy Cache Engine設置高 TTL。

我應該複製整個目錄嗎？我不介意新使用者是否無法通過身份驗證。如果可以使用上次接受的密碼對本地已知的使用者進行身份驗證，我會很高興。所以最簡單的解決方案是我最喜歡的。

我搜尋了很多術語，包括記憶體/記憶體、副本等。我沒有找到任何“grab-my-hand-and-show-me-how-to-do-that-on-debian-jessie”步驟- 一步一步的解決方案，所以我認為相對標準的東西實際上有點棘手。

我不確定您是否在詢問一般情況下如何讓 Debian 伺服器對 Active Directory 進行身份驗證/授權……或者如何確保現有的身份驗證/授權高度可用。我將在這個答案中假設後者。

簡短的回答是，將 OpenLDAP 設置為 Active Directory 的記憶體層是愚蠢的。AD 是一個多主複製數據庫。如果您需要高可用性，只需提出另一個。如果您的 DC 位於您擔心失去連接的不同網段中，請在您的本地網段中啟動一個（或兩個）DC，並在 AD 中設置必要的站點拓撲。

引用自：https://serverfault.com/questions/703880