Active-Directory

具有兩個不同 ActiveDirectory“後端”的 OpenLDAP

  • December 18, 2017

我的組織中有以下設置:

  • 子組織 A 有一個 Microsoft Active Directory 伺服器,它服務於“僅限 Windows”的世界,即它沒有為其使用者提供的 UID 或 GID 值。使用者有固定的使用者名(例如,“jdoe”)並可能更改電子郵件地址“jane.doe@A.com”(結婚時可能更改為“jane.smith@A.com”……)
  • 子組織 B 有一個服務於“Unix 感知”世界的 Microsoft AD 伺服器,即它具有為其使用者提供的 UID 和 GUID 值。使用者名通常是固定的,電子郵件可以如上所述更改。

在兩個子組織中都可以有一個“jdoe”,代表相同或不同的現實世界的人(如果兩個子組織都知道這個人)

現在,我需要創建一個允許執行以下操作的 OpenLDAP 設置:

  • 我住在子組織C。

  • 使用者可以使用某種唯一的 ID(例如,A\jdoe 或 jdoe@A)和他們的子組織的密碼登錄。

  • 對於來自子組織 A 的使用者,必須創建某種“自動”UID。可以假設具有足夠空間的特定範圍的 UID(例如,40k-80k)。

  • 可以丟棄來自子組織 A 和 B 的任何組資訊,但我需要在子組織 C 中有(Unix 樣式)組,其中包含來自 A 和 B 的使用者。

  • 理想情況下,我希望在 A 和 B 的 AD 與我的 OpenLDAP 伺服器之間進行“手動同步和保存”,這樣

    • 儘管與 A 和 B 的 AD 的連接可能會中斷,但我可以對使用者進行身份驗證。
    • 同步後標記為“已禁用”的使用者在我的 OpenLDAP 中也被標記為已禁用
    • 無需將任何內容寫回 A 和 B 的 AD,但必須將來自 AD A 和 AD B 的更改寫回我的 OpenLDAP 伺服器。

在高層次上,最好的實用方法是什麼?在有關 LDAP/OpenLDAP 的文件和書籍中要查找哪些相關術語。不是 LDAP/OpenLDAP 方面的專家,似乎在人們寫它的任何地方都使用了很多特定於域的語言……

最後,我通過創建一個 OpenLDAP 實例解決了這個問題,我將必要的帳戶資訊輸入其中。基於密碼的身份驗證是通過使用具有兩個後端的 LDAP 代理來實現的。

引用自:https://serverfault.com/questions/881587