聚合 LDAP/AD 服务器
Posted
技术标签:
【中文标题】聚合 LDAP/AD 服务器【英文标题】:Aggregating LDAP/AD servers 【发布时间】:2009-03-06 07:00:19 【问题描述】:目前,我们有一小部分用户设置在 Microsoft SBS 机器上,因此可以在活动目录下使用。
这些用户以及其他一些用户在第二台 LDAP 服务器 (openLDAP) 上也有条目。第二台服务器用于对一些不同的事物进行身份验证和访问控制,例如我们基于 Web 的内部时间表系统、足球小费系统、论坛和颠覆存储库控制。
因此,对于办公室中的小组,他们有两个单独的帐户,他们必须记住其 ID 和密码。其中一些内部系统不容易配置为针对多个 LDAP 服务器 (mod_authnz_ldap) 进行身份验证。
出于各种原因,我们不希望额外的用户和组弄乱 SBS 机器上的 Active Directory。
我希望能够以某种方式设置一个虚拟 LDAP 服务器,该服务器可以跨两个现有 LDAP 服务器工作并提供统一的视图。它会从 AD 和 openLDAP 服务器中提取用户信息,或者在内部维护其他用户和组。
(实际上,内部可能会更好,因为有些组只存在于聚合服务器上,我们希望将 AD 服务器中的用户分配为成员。)
我所知道的唯一一个接近于做我想做的事的想法是Penrose virtual directory server,但在我进一步调查之前,我想看看是否还有其他选择。
【问题讨论】:
你最终实施了什么来解决这个问题?我们正在研究某种虚拟目录解决方案,我很好奇您的经历。 【参考方案1】:如上所述,您可以使用virtual directory 产品为集中式 LDAP 服务提供接口。
一些拥有虚拟目录产品的公司:
MaXware 辐射逻辑 八位字符串 持续查询 iPlanet 目录访问路由器 甲骨文 孙 许多其他人【讨论】:
【参考方案2】:您要查找的内容通常称为虚拟目录,或者可能是 LDAP 代理。
一旦您开始变得比两个简单的系统更复杂,您就想开始考虑一个身份管理解决方案,也许是元目录系统。
如果足够的话,虚拟目录是不错的,但通常将所有数据实际收集到一个元目录并根据需要公开其中的一部分更为方便。
这两个领域都有很多产品,通常是成本,因为你得到你所支付的。
【讨论】:
【参考方案3】:我完全不确定,但你可以用ADAM 和proxy authentication 做点什么。
【讨论】:
【参考方案4】:您至少可以为 AD 和 OpenLDAP 使用相同的用户 ID。这将解决双重用户 ID 问题。
此外,您可以自动将密码从 AD 同步到 OpenLDAP 或其他方式。这将解决用户必须记住多个密码的问题。
【讨论】:
我认为您无法从 AD 中提取密码信息 - 这使得同步变得困难......以上是关于聚合 LDAP/AD 服务器的主要内容,如果未能解决你的问题,请参考以下文章
在 AD 服务器上使用 winldap.h 进行 LDAP 搜索
IdentityServer4具有没有UI的LDAP / AD身份验证