我有多个业务,我想通过单点登录 (SSO) 验证单个服务器。我使用的是 389 目录服务器,并且已将每个域拆分为各自的 OU。我想使用 Kerberos 进行身份验证,但似乎找不到有关如何让 Kerberos 处理多个域的任何信息。
答案1
Kerberos 是一个平面命名空间。您可以:
a) 在 ldap 的基础 dn 上建立一个域,并将所有帐户放在一个全局共享领域中
b)在树的较低位置建立域(即在您设置的“域 ou”级别)并配置每个域之间的信任关系。
如果您可以将 kerberos 主体存储在 ldap 中,那么管理会变得更容易一些。这是计划吗?