想象一下,一家公司只有五名员工,一台独立的虚拟/云远程桌面服务器就足以满足公司的所有需求。此 RDS 存储客户的所有程序和文件。所有用户帐户均在 RDS 服务器本身上创建。
现在我们要实现 VPN 访问的 SSO。在其他基础设施上,我们可以使用 LDAP 访问 AD,以便在防火墙上为每位客户使用相同的用户数据库。
是否有可能使用 LDAP 访问 RDS 本地用户?找不到任何工具/服务。据我所知,AD LDS 通过自己的数据库为用户提供服务。
答案1
您可以使用 WINNT 提供程序。显然,AD 中的许多属性对于本地帐户来说并不存在,但它确实有效。
答案2
简短的回答是——视情况而定。
如果您只是想使用 LDAP 客户端访问 Active Directory 服务器,那么是的 - 这是可能的。LDAP 搜索的查询语法受 Active Directory 支持(请查看这篇 Technet 文章)。
同样,许多流行的编程/脚本语言都有 LDAP 模块或扩展。由于 LDAP 查询语法是标准化的,您应该会发现它们也支持与 AD 交互。
这可能不成立的情况是应用程序具有用于查找信息的预定义查询(例如,应用程序需要属性“userid”,而 AD 可能公开“uid”)。
要探索此安排是否适合您的环境,一个好的起点是安装 OpenLDAP 客户端工具并尝试连接到 AD 并查询用户。上面链接的文章提供了一些关于如何开始该过程的有用入门知识。
编辑
本文提供了一些用于测试 LDAP 到 AD 连接的进一步配置和动手操作说明。它有点过时了,通过一些搜索,您可能会找到更好的教程。
答案3
我通常会配置一个 radius 服务(在 Windows 中捆绑为 Internet 身份验证服务器或 IAS)。然后我将 vpn 服务器配置为 IAS 服务的 radius 客户端。
Radius 的功能类似于系统无关的身份验证桥梁,并且非常容易设置和使用,即使它乍一看非常令人生畏(尽管在 google-range 上有很多操作方法)。