我有一个用 PHP 编写的 Web 应用程序,我想让现有用户也能登录 Windows 计算机。重新散列他们的密码是可行的(通过要求他们更改密码)。为了解决密码不同步的问题,我打算让 Web 应用程序主要根据域对用户进行身份验证。
我不想为 webapp 用户提供现有域上的帐户(我们可以称之为)example.local。相反,我想为他们提供新域上的帐户(我们称之为)webapp.example.local。
根据我所做的一些研究,设置 Samba4 域并将计算机加入该webapp.example.local域是允许 webapp 用户登录的一种方法。但是,计算机应该是该example.local域的成员。
我怎样才能让作为 Windows 2008 成员并针对其进行身份验证的计算机example.local也针对其进行身份验证webapp.example.local?
神奇的关键词似乎是“信任关系”、“森林”等,但目前我还没有找到如何建立这种信任的具体例子。
答案1
我不是 Samba4 专家,因此我无法评估您设计的局限性。但从 AD 的角度来看,您想要的可以通过使用两个单独的域并建立两个域之间的信任关系来实现,因此您在这一点上是正确的。
恕我直言,如果您想要两个不同的域,一个用于生产(example.local),另一个用于资源管理(webapp.example.local),请记住这两个域由不同的技术(Native Microsoft AD 和 SAMBA4)托管,最好将它们设置在非连续的 DNS 命名空间中,例如 example.local 用于生产,resources.local 用于资源管理。这只是 AD 管理的个人偏好,而不是真正的技术限制。
尽管如此,我希望您能发现下面这两个链接很有用:
希望能帮助到你!