我有两个 Microsoft 活动目录,我们称之为外部和内部,
我想要做的是:
- 将用户添加到内部 AD 而不设密码(只需为他们保存一些其他属性)。
- 当用户尝试登录时,将根据外部 AD 检查密码。
- 这仅适用于域用户,不适用于管理员。
- 两个 Active Directory 都在 Windows 服务器上。
- 我不知道外部服务器的具体版本是什么。但我知道它是一个 Windows 服务器。
- 我能够在 Linux 上使用 openldap 对用户进行身份验证。“通过提供用户名和密码”。这意味着可以对用户进行身份验证。
请注意,我并不是想窃取密码或其他什么。我只是希望我的内部 AD 将用户名和密码发送到外部 AD,然后外部 AD 会响应它们是否匹配。
我公司有多项服务对员工使用外部密码(如 Exchange 邮件)。我想让他们到处都使用相同的用户名和密码。
这是我拥有的权限:
- 我没有外部 AD 的任何“管理员”权限。只有普通用户权限。
- 我对内部 AD 拥有完全的权限。
- 我可以完全控制尝试登录内部 AD 的计算机和用户。
有人建议我使用跨领域 Kerberos 信任,并指导我找到写这个问题的正确位置。我查找了跨领域 Kerberos 信任,但我发现我需要在两个 AD 上输入信任的密码。我无法做到这一点,因为我没有外部 AD 的管理员权限。
非常感谢您的帮助。提前致谢
答案1
Active Directory 轻型目录服务(AD LDS) 听起来很符合您的要求。您所说的“内部 AD”可以是 AD LDS 实例,用于验证您所说的“外部 AD”。
我不确定我是否完全理解了你的用例,但我认为AD LDS 绑定重定向可能会做你想做的事。