具有两个不同 ActiveDirectory“后端”的 OpenLDAP

具有两个不同 ActiveDirectory“后端”的 OpenLDAP

我的组织中有以下设置:

  • 子组织 A 拥有一个 Microsoft Active Directory 服务器,该服务器服务于“仅限 Windows”的世界,即它具有用户的 UID 或 GID 值。用户有固定的用户名(例如“jdoe”)并且可能更改电子邮件地址”[电子邮件保护]“(可能会改为“[电子邮件保护]“关于婚姻……”)
  • 子组织 B 拥有一个 Microsoft AD 服务器,为“Unix 感知”世界提供服务,即它为其用户提供 UID 和 GUID 值。用户名通常是固定的,电子邮件可以如上所述更改。

两个子组织中都可以有一个“jdoe”,代表相同或不同的现实世界的人(假设该人为两个子组织所知)

现在,我需要创建一个允许执行以下操作的 OpenLDAP 设置:

  • 我住在 C 分支机构。
  • 用户可以使用某种唯一的 ID(例如,A\jdoe 或 jdoe@A)及其子组织的密码登录。
  • 对于来自子组织 A 的用户,必须创建某种“自动”UID。可以假设 UID 具有一定范围且空间充足(例如 40k-80k)。
  • 可以丢弃来自子组织 A 和 B 的任何组信息,但我需要在子组织 C 中拥有包含来自 A 和 B 的用户的(Unix 风格)组。
  • 理想情况下,我希望在 A 和 B 的 AD 和我的 OpenLDAP 服务器之间进行“手动同步和保存”,以便
    • 尽管 A 和 B 与 AD 的连接可能中断,但我可以对用户进行身份验证。
    • 同步后,标记为“已禁用”的用户在我的 OpenLDAP 中也会被标记为已禁用
    • 无需将任何内容写回到 A 和 B 的 AD,但必须将 AD A 和 AD B 的更改写回到我的 OpenLDAP 服务器。

从高层次上讲,最好的实践方法是什么?在有关 LDAP/OpenLDAP 的文档和书籍中要查找的相关术语是什么。由于不是 LDAP/OpenLDAP 专家,因此似乎人们在撰写有关它的任何地方都使用了大量领域特定语言...

答案1

最后我通过创建一个 OpenLDAP 实例解决了这个问题,并将必要的帐户信息输入其中。基于密码的身份验证是通过使用具有两个后端的 LDAP 代理实现的。

相关内容