我有以下情况:我有一个需要对用户进行身份验证的网站,其中一些是存储在活动目录域中的内部用户,但还有一些其他用户(即客户和承包商),我不想将它们存储在 AD 中,但仍希望将它们保存在中央 LDAP 数据库中。
因此,我认为根据本地 LDAP 对 Web 服务器进行身份验证会很好,如果未找到用户,则让它透明地将查询传递给 AD LDAP 服务器。
这可能吗?我查看了 LDAP 文档,但仍然不太确定所有可用的选项。
我将在 Linux 上使用 OpenLDAP。
答案1
是的,您可以将 OpenLDAP 设置为缓存代理 LDAP 服务器,并以 AD 作为后端。
看这例如(但只需搜索“openldap 可以将代理 ldap 请求发送到活动目录吗”,您就会有很多内容可以查看”。
答案2
您可以将它们存储在 ADAM 分区中(现在在 2008 年称为 AD LDS)。然后,您可以将所有用户(内部和外部)放在一个目录服务中。您不需要管理 openldap,并且可以使用用于管理现有用户的相同工具来管理外部用户,而无需将外部用户放在当前林中。您可以在此处找到 ADAM 概述:使用 ADAM 创建自定义目录