我们在隔离网络中拥有服务。这些服务需要根据 Active Directory 服务器对用户进行身份验证。
但是 Active Directory 服务器无法直接使用,因此我必须在隔离网络中设置 LDAP 代理。然后 LDAP 代理将可以访问 AD。请注意,访问必须是只读的,并且该代理将只能访问一AD 服务器。
- 这可能/可行吗?
- “代理”这个词好吗?
- Microsoft AD 服务器是必需的吗?还是 OpenLDAP 也可以胜任?
- 我对 AD/LDAP 了解不多,学习曲线如何?
- 一些提示,从哪里开始?
谢谢。
答案1
这可能/可行吗?
这是可行的,也很常见。如果你搜索类似 openldap 代理活动目录你会发现许多有用的结果。
“代理”这个词好吗?
这绝对是正确的用词。
Microsoft AD 服务器是必需的吗?还是 OpenLDAP 也可以胜任?
如果您的客户只需要 LDAP 服务器,那么 OpenLDAP 就足够了,特别是当您只需要只读访问权限时。
我对 AD/LDAP 了解不多,学习曲线如何?
如果不了解你的背景,这个问题很难回答。我发现 LDAP 从根本上来说很简单,但要理解 OpenLDAP 中的访问控制可能需要一点工作量。
一些提示,从哪里开始?
如果您需要做的只是让 AD 服务器在本地网络中可用,那么简单的 TCP 代理或适当的 iptables 规则将比成熟的 LDAP 代理简单得多。缺点是您需要在 Active Directory 端执行任何访问控制。
如果您决定使用 OpenLDAP 作为代理:
OpenLDAP 作为 Active Directory 代理的分步安装和配置从标题来看似乎符合要求,但作为指南来说并不是很好。
这Samba 文档有一些类似的注释。
本文我几年前写的比你想要的还多,但确实有一些配置示例。
答案2
Active Directory 轻型目录服务似乎正是您所需要的 - 但如果您想直接针对 AD 进行身份验证,您可以只执行 TCP 代理回到您的 AD 服务器;HAProxy会很合适。