基本上,我需要能够尝试从 IIS 针对两个不同的 AD 域进行身份验证。我希望能够自动查询两个 AD,并且返回身份验证的那个 AD 获胜。用户完全独立,并且仅存在于各自的域中。
互联网信息服务
|
|
/-------------\
| |
------ ------
AD1 AD2
JoeU AmyU
JillU JohnU
因此,如果 IIS 请求对 JoeU 进行身份验证,它将查询两个域。JoeU 将在 AD1 中找到,因此我们可以忽略来自 AD2 的任何响应。
- 使用现有 IIS 7 是否能实现这一点?
- 是否有中间件或其他东西可以在 IIS 7 上允许这种类型的配置?
- 这是否是 IIS 和 AD 域之间的某种中间件的工作?
答案1
最好的方法是在 AD1 和 AD2 之间建立信任关系。设置完成后,您只需像往常一样向 IIS 网站分配权限,但您需要使用以下任一方式完全限定用户AD(1|2)\user:user@ad(1|2)
然后当用户登录时,他们将登录AD(1|2)\user或user@ad(1|2)