目标:让 389DirectoryServer(又名 Redhat/Centos/Fedora DS)从 AD 中提取帐户信息,允许 AD 帐户和 389 本地帐户通过 389DS 进行身份验证,但同步是单向的,即 AD->389。我们不希望在 389 服务器上进行的意外/恶意更改复制回 AD。理想情况下,我们也不必使用 DomainAdmin 等效用户。
所有现有文献(大部分参考http://www.centos.org/docs/5/html/CDS/ag/8.0/Windows_Sync-Configuring_Windows_Sync.html) 使其看起来像是双向同步。我是不是搞错了方向?
**编辑:**为了保持专注,我不会解释更高层次的目标,实际的最终目的是让我们的学生(在 389 中配置)和我们的员工(在 AD 中)能够通过 CAS 对我们各种系统(主要是基于网络的系统)进行身份验证。(http://www.jasig.org/cas)。不要问我们为什么要这样做,这只是向我展示以支持的内容。我觉得有一种更简单/更明显/更常见的方法,但我肯定不是跨平台身份验证/授权专家。(我想到的是 kerberos、RADIUS 和/或 PAM 等词,但我不知道它们到底是什么,优点/缺点等……但由于我们已经在针对无线 802.1x 的 AD 使用 RADIUS……)
答案1
是的,可以。将您的 389 ds 升级到版本 1.2.7 或更高版本
它附带单向 AD 同步插件,允许 Windows 同步仅从 AD 到 DS,或仅从 DS 到 AD,而不仅仅是默认的双向同步
参考:http://directory.fedoraproject.org/docs/389ds/howto/howto-one-way-active-directory-sync.html
答案2
我们下定决心,将所有(超过 2 万)学生账户都放入 AD 中。这让一些事情变得简单多了。一个目录统领所有账户也更容易支持客户服务。我们必须从身份主控(横幅)构建单向同步,并构建一个完全独立的密码更改页面供所有人使用。
它为我们提供了所有身份验证的单一 LDAP 源。我们还使用 CAS 进行 SSO,这无疑使事情变得更容易。此外,我们的 WLAN 身份验证页面只有一个目录可供查询,以及我们在部门 Web 服务器上运行的所有大量非 CAS Web 应用程序。