我可以讓 AD 通過另一個 LDAP 伺服器進行身份驗證嗎？

我需要設置一個廣告。我所在的較大組織有自己的 LDAP 服務，用於處理身份驗證和其他一些細節。我想讓 AD 僅出於身份驗證目的使用該 LDAP 資訊。這可能嗎？

老實說，我取決於你必須花費多少時間、專業知識和金錢。如果您只想同步基本屬性（包括使用者名/密碼），FIM（Forefront Identity Manager）是一個不錯的選擇。然而，這不是我的大學所做的，我們總是需要比 IDM 解決方案真正提供的更多的靈活性，這就是為什麼我們開發了我們自己的內部中間件，使用 LDAPS 用 perl 編寫。這使我們能夠以盡可能多的靈活性對我們想要的內容、時間和地點進行腳本更新。我們還強制所有使用者使用 Web 門戶更改密碼，這樣我們的目錄就不會失去同步。我們目前正在將 SUN ONE LDAP 系統同步到我們的 MS Active Directory，並且自 2002 年以來一直如此。

TL;DR 如果您缺乏時間和專業知識，但沒有錢，請使用 FIM，它會做您想做的事。如果不是，我們非常歡迎您使用選擇的編碼語言編寫自己的中間件來做同樣的事情。

引用自：https://serverfault.com/questions/110964