我正在公司中设置一个 Debian 服务器,其中用户在 Active Directory 中进行管理。
我想使用 AD 对用户进行身份验证,但我认为,如果可行的话,最好使用本地 OpenLDAP 进行身份验证,以防 AD 服务器或网络出现故障。
我看过有关设置直通身份验证的教程
但它没有说明如果无法访问 AD 服务器会发生什么。据我所知,请求失败。
这里有人建议使用OpenLDAP 代理缓存引擎设置高 TTL。
我是否应该复制整个目录?我不介意新用户无法通过身份验证。如果本地已知的用户可以使用上次接受的密码进行身份验证,我会很高兴。所以最简单的解决方案是我最喜欢的。
我搜索了很多术语,包括缓存/缓存、副本等。我没有找到任何“抓住我的手并向我展示如何在 Debian Jessie 上做到这一点”的分步解决方案,所以可能是我认为相对标准的东西实际上有点棘手。
答案1
我不确定您是在问如何让 Debian 服务器针对 Active Directory 进行身份验证/授权……还是如何确保现有的身份验证/授权具有高可用性。我在此回答中假设是后者。
简而言之,将 OpenLDAP 设置为 Active Directory 的缓存层是愚蠢的。AD 是一个多主复制数据库。如果您需要高可用性,只需启动另一个。如果您的 DC 位于不同的网段中,并且您担心会失去连接,请在本地网段中启动一个(或两个)DC,并在 AD 中设置必要的站点拓扑。
答案2
本地 OpenLDAP 服务器可能不是处理所述情况的最佳方式。我认为您应该仔细看看sssd。它应该有您需要的一切。