我需要设置 AD。我所在的大型组织有自己的 LDAP 服务,用于处理身份验证和其他一些详细信息。我希望让 AD 仅将该 LDAP 信息用于身份验证目的。这可能吗?
答案1
说实话,这取决于您有多少时间、专业知识和金钱可以投入。如果您只是希望同步基本属性(包括用户名/密码),FIM(Forefront Identity Manager)是一个不错的选择。然而,这不是我的大学所做的,我们一直需要比 IDM 解决方案实际提供的更多的灵活性,这就是为什么我们使用 LDAPS 开发了我们自己的内部中间件,用 perl 编写。这使我们能够根据需要的灵活性编写脚本来更新我们想要的内容、时间和地点。我们还强制所有用户使用 Web 门户进行密码更改,以便我们的目录不会不同步。我们目前正在将 SUN ONE LDAP 系统同步到我们的 MS Active Directory,自 2002 年以来一直如此。
TL;DR 如果您缺乏时间和专业知识,但不缺钱,请使用 FIM,它将满足您的需求。如果不是,您可以用您选择的编程语言编写自己的中间件来做同样的事情。
答案2
我知道的唯一方法是创建一个 LDAP 支持的 Kerberos 系统,并在非 Windows Kerberos 领域和 Windows 域(也是 Kerberos 领域)之间建立 Kerberos 信任。关键步骤:
- 设置新的 Kerberos 领域
- 获取 LDAP 作为该领域的授权源
- 因为这是 AD,所以该领域将需要创建 Kerberos DNS SRV 记录。
- 建立信托
- 由于 AD 将信任 Kerberos 领域,因此这将是单向信任
- 拥有这些凭证的用户将有使用支持 Kerberos 的访问方法进行身份验证。AD 的 LDAP 支持此功能,SMB 也支持此功能(尽管我还没有在非 MS Kerb 领域中尝试过)。
Kerberos 是允许 AD 使用外部 LDAP 服务器进行身份验证的粘合剂。
答案3
我从来没有做过你描述的事情,至少不是使用 LDAP 并且不是在生产中。
AD 域不仅仅是身份验证,而且需要的不仅仅是 LDAP 目录才能工作,所以我认为您需要部署 Samba 或其他东西来实现您所描述的功能(尽管您可以让 Samba 使用 LDAP 作为其后备存储)。我不确定 Samba 域控制器现在的状态如何,但我会开始寻找这里(samba.org 文档)。
我有反过来(让 LDAP 内容针对 AD 进行身份验证,并将“其他内容”存储在 AD 的 LDAP 存储中),这相对容易——如果切实可行,我会推荐这个,但如果不进一步了解你的情况,我无法说这是不是正确的举措……