我有一个在 Linux 上装有 openvpn 服务器的站点,可以根据 Active Directory(域 A)对用户进行身份验证,一切运行正常。
现在公司有一个不同的 AD 域(B),其“信任”设置为原始域 A。
有没有一种简单的方法可以 a) 让域 B 中的用户出现在域 A 中?b) 调整 openvpn 以尝试多个 AD 域?
我可以简单地在另一个端口上设置另一个 openvpn 实例,但我想为所有用户提供一个配置。
答案1
OpenVPN LDAP 插件似乎不具备支持多个 LDAP 服务器的功能(至少,我看到的是这样)。
如果你想保留 Windows 的原始功能,你可以部署网络策略服务器、Microsoft 的 RADIUS 服务器,并使用它对两个域中的用户进行身份验证。
您还可以部署 LDAP 代理位于两个 AD 域和 OpenVPN 服务器之间。
就我个人而言,我会选择 RADIUS 路线,因为它可以非常方便地抽象出 LDAP 和信任关系。