假设我正在运行两个 OpenLDAP 服务器,可以独立使用它们进行身份验证:ldap.example.com(生产站点)和 ldap.example.io(测试站点)。
是否可以配置 ldap.example.io,以便在找不到用户时,不会使身份验证失败,而是尝试使用 ldap.example.com?这样,使用 OpenLDAP 服务器进行身份验证的应用程序只需要知道单个 LDAP 资源。
我想象有一些复杂的问题需要考虑(例如重复的用户名,新用户添加到哪里,嫁接树是否应该是只读的)但现在我只想知道是否存在这样的机制。
答案1
是的,这个过程被称为“引用”,是一种非常标准的 LDAP 操作模式,请参阅http://www.openldap.org/doc/admin24/referrals.html
另一种方法是链接:http://www.openldap.org/doc/admin24/overlays.html#Chaining