Active-Directory
具有兩個不同 ActiveDirectory“後端”的 OpenLDAP
我的組織中有以下設置:
- 子組織 A 有一個 Microsoft Active Directory 伺服器,它服務於“僅限 Windows”的世界,即它沒有為其使用者提供的 UID 或 GID 值。使用者有固定的使用者名(例如,“jdoe”)並可能更改電子郵件地址“jane.doe@A.com”(結婚時可能更改為“jane.smith@A.com”……)
- 子組織 B 有一個服務於“Unix 感知”世界的 Microsoft AD 伺服器,即它具有為其使用者提供的 UID 和 GUID 值。使用者名通常是固定的,電子郵件可以如上所述更改。
在兩個子組織中都可以有一個“jdoe”,代表相同或不同的現實世界的人(如果兩個子組織都知道這個人)
現在,我需要創建一個允許執行以下操作的 OpenLDAP 設置:
我住在子組織C。
使用者可以使用某種唯一的 ID(例如,A\jdoe 或 jdoe@A)和他們的子組織的密碼登錄。
對於來自子組織 A 的使用者,必須創建某種“自動”UID。可以假設具有足夠空間的特定範圍的 UID(例如,40k-80k)。
可以丟棄來自子組織 A 和 B 的任何組資訊,但我需要在子組織 C 中有(Unix 樣式)組,其中包含來自 A 和 B 的使用者。
理想情況下,我希望在 A 和 B 的 AD 與我的 OpenLDAP 伺服器之間進行“手動同步和保存”,這樣
- 儘管與 A 和 B 的 AD 的連接可能會中斷,但我可以對使用者進行身份驗證。
- 同步後標記為“已禁用”的使用者在我的 OpenLDAP 中也被標記為已禁用
- 無需將任何內容寫回 A 和 B 的 AD,但必須將來自 AD A 和 AD B 的更改寫回我的 OpenLDAP 伺服器。
在高層次上,最好的實用方法是什麼?在有關 LDAP/OpenLDAP 的文件和書籍中要查找哪些相關術語。不是 LDAP/OpenLDAP 方面的專家,似乎在人們寫它的任何地方都使用了很多特定於域的語言……
最後,我通過創建一個 OpenLDAP 實例解決了這個問題,我將必要的帳戶資訊輸入其中。基於密碼的身份驗證是通過使用具有兩個後端的 LDAP 代理來實現的。