我已设置 Active Directory 轻量级目录服务。我有代表 Active Directory (Domain_A) 中用户的对象。我已设置其 objectSID 属性,并且用户可以使用其 Active Directory 密码向 LDS 进行身份验证。我很喜欢它。
以下是成功的 LDS 代理身份验证的格式化 Wireshark 网络跟踪:
LDAP bindRequest(1)“cn=ixe013,cn=Users,cn=Fizz,dc=Buzz,dc=tst”简单 KRB5 AS-请求 KRB5 KRB 错误:KRB5KDC_ERR_PREAUTH_REQUIRED KRB5 AS-请求 KRB5 AS-REP KRB5 TGS-请求 KRB5 TGS-REP LDAP bindResponse(1) 成功 LDAP 解除绑定请求(2)
我想引入来自不同 Active Directory(Domain_B)的新用户,该用户与 Domain_A 中的 Active Directory 没有任何信任关系。
有没有办法告诉 LDS 在哪个域中寻找用户,或者它是否总是在它所在的域中寻找,也许通过使用 Kerberos 以外的其他协议?
+我已经搞清楚了用户配置,无需提及。谢谢!
答案1
使用 MS-LSAT 查找用户代理上的 objectSID。http://msdn.microsoft.com/en-us/library/cc234496(v=prot.10).aspx有详细信息。进行 netmon (https://www.microsoft.com/download/en/details.aspx?displaylang=en&id=4865) 在执行 BIND 时对 LDS 服务器进行跟踪,以查看发生的情况。
一旦识别出用户的域,它就会尝试使用您执行 BIND 的主体的用户名、域和密码,以便根据相关域的 DC 对其进行验证。如果它可以找到 KDC,则将按照您的图表使用 Kerberos。
由于域 A 和 B 之间不信任,SID 查找将失败。因此,您尝试的此实现将不起作用。