想寻求一些指导。我在单独的域中建立了信任关系,并拥有 2 个 Active Directory 域控制器。我还有一个支持 LDAP 身份验证但不支持多个 LDAP 服务器的应用程序。我对 ADAM(Active Directory 应用程序模式)进行了一些研究,想澄清一些事情。1. 在 ADAM 中创建分区时,我必须创建一个与 AD 命名上下文匹配的分区吗?换句话说,如果您的 AD 是 DC=abc,DC=org,那么您的 ADAM 命名上下文应该是 DC=abc,DC=org。这是真的吗?如果是这样,我该如何避免同步到第二个 AD DC。我需要另一个分区吗?如果是这样,那么就应用程序 LDAP 身份验证而言,我想我又回到了原点。有没有更好的方法来合并来自多个 Active Directory 实例的用户?
答案1
ADAMSync 支持源 DN 和目标 DN 的不同 DN。因此,您可以将 DC=Domain,DC=Com 用于源,将 O=Domain,C=US 用于 ADAM 分区,作为示例。这里没有问题。
您将遇到的问题是将两个域同步到同一个分区。您无法让 DC=Domain1,DC=COM 和 DC=Domain2,DC=Org 都同步到 O=Domain,C=US。您只能让其中一个源同步到目标分区。
您会遇到问题的原因是 adamsync 需要将配置存储在目标 ADAM 分区上。您无法在 NC 上同时存储两个配置。在这种情况下,如果您选择 DC=Domain1,DC=COM ,它将写入相关配置以执行该同步。如果您尝试存储 DC=Domain2,DC=COM ,则 DC=Domain1,DC=COM 的先前配置将丢失。
您可以选择对 DC=Domain1,DC=COM 相关 XML 执行 /install,然后执行 /sync。接下来 /install DC=Domain2,DC=COM XML 并对其执行 /sync。因此,您可以不断在配置之间切换并执行 /sync。
这可行,但恕我直言,并不优雅。它可能适合某些人的目的。