我们目前正在 Amazon EC2 上设置 Jabber 服务器,我们希望让我们的内部用户通过 LDAP 进行身份验证,这样我们就不必创建/管理与办公室主目录不同的一组用户帐户。
我的问题是:有没有办法单向复制部分我们的内部 LDAP 目录(用户帐户 OU)到外部 LDAP 服务器,并根据该服务器对 Jabber 进行身份验证?
我们正在尝试解决让我们在云中外部托管的机器直接访问我们的内部网络的问题...如果我们只能在一个方向上复制用户帐户的子集,那么即使该子集受到损害,我们的内部网络也不一定会出现严重的安全漏洞。
答案1
您可以将 ldaptree 的一部分导出ldapsearch到 ldif 文件,然后使用ldapadd或将其添加到您的其他 ldap 服务器中ldapmodify。
还有一些产品支持单向自动或半自动复制,例如fedora 目录服务器。
jabber 可以通过 ldap 进行身份验证,但我无法告诉您如何操作。也许其他人可以回答这部分。
答案2
一旦创建了 LDIF 文件,ldapdiff (https://launchpad.net/ldapdiff) 是一个用于在 LDAP 服务器之间同步更改的绝佳工具。
答案3
如果我理解正确的话,你想“推动”一些帐户从内部 LDAP 目录迁移到云中的另一个目录?
如果您的目录是 OpenLDAP,您可以使用基于推送的配置设置部分复制。请参阅他们的管理指南。
如果没有,您可以使用同步工具,它将连接到您的内部目录,查询您想要推送的帐户,并连接到云中的目录以在那里更新它们。Ldap 同步连接器 (LSC)是一个可以实现这一功能的工具,并且是开源的。