我在 stakoverflow 上问过这个问题,但还没有得到答案,所以我在这里试试运气,因为它可能与系统管理员更相关。
我们正在尝试开发一种 ACL 解决方案,既能满足内部用户(目前通过 Windows AD 进行管理,这超出了项目范围)的需求,也能满足外部用户的需求。我们的想法是建立一个新的 LDAP 服务器、另一个 Windows AD 或非 AD 服务器(如 openldap),用于管理外部用户和用于 ACL 的所有组。
然后将设置对内部 Windows AD 的引用,以便身份验证对内部和外部帐户都有效,并且新 LDAP 服务器中定义的组的组成员资格将对内部和外部帐户开放。
问题是让推荐发挥作用,首先遵循这个文档http://technet.microsoft.com/en-us/library/cc978014.aspx(在“为内部位置创建外部交叉引用”下),似乎您需要让外部 ldap 服务器具有与内部服务器相同的域,这似乎是一个问题,至少在使用 Windows AD 作为外部服务器时也是如此。
此外,由于存在安全限制,无法建立信任关系,因此无法将内部用户添加为在外部服务器中创建的组的成员。那么有没有办法解决这个问题?对于外部服务器,使用 openldap 而不是 Windows AD 是否更好?
任何指点都将非常感激。
干杯
答案1
您所尝试做的事情听起来很像一种信任。
这些 ACL 在哪里?在某些情况下,单向信任可能是合适的。
或者,检查 ADFS(活动目录联合服务),它可用于联合访问而无需实际信任,这对于外部合作伙伴等很有用。
http://msdn.microsoft.com/en-us/library/ms674895%28v=vs.85%29.aspx
答案2
我不确定你为什么要使用 OpenLDAP 而不是具有单向信任的第二个 AD 林,但对于你的问题,我从未真正见过实现对外部目录的交叉引用。也就是说,我看不出它需要位于连续命名空间内的任何理由。