我有两个问题,希望找到一个通用的解决方案。
首先,我需要找到一种方法,将多个 LDAP 服务器(跨多个域的 Windows AD)馈送到单个源进行身份验证。这也是使不能与多个 LDAP 服务器本地通信的应用程序工作所必需的。我读过这可以通过 Open LDAP 完成。还有其他解决方案吗?
其次,我需要能够将这些用户添加到组,而不能对我代理的 LDAP 服务器进行任何更改。
最后,这一切都需要在 Windows Server 2003/2008 上运行。
我为一个非常大的组织工作,创建多个组并在其中添加、移动和删除大量用户是一项不小的任务。这通常需要大量的文书工作和大量的时间。时间是我们通常没有的一件事;避免文书工作只是一个加分项。
我在这方面的经验非常有限,所以我什至不确定我的要求是否有意义。Atlassian Crowd 接近我们所需要的,但还没有拥有自己的 LDAP 前端。任何人都可以提供任何建议或产品名称吗?
感谢您的任何帮助,您可以提供。
我推荐 OpenLDAP 的meta后端,它充当代理,将来自多个不同服务器的多个命名上下文集成到一棵树中。我已经成功地使用它在几个 Windows 2003 域上做到了这一点。
例如,如果您有多个名为ONE.COMPANY.COMand 的AD 域TWO.COMPANY.COM,则最终会得到以下 LDAP 树:
- dc=公司,dc=com
- dc=one,dc=company,dc=com
- 域中的用户和组
ONE- dc=二,dc=公司,dc=com
- 域中的用户和组
TWO
因此,您可以将身份验证请求基于基本 DN dc=company,dc=com,这将从任一服务器返回条目。
当然,您必须确保您拥有可以唯一标识所有域中的用户的属性,例如电子邮件地址(如果您有两个jdoe用户,您不想使用登录名!除非您确定登录名是在所有域中都是唯一的)。
其次,我需要能够将这些用户添加到组,而不能对我代理的 LDAP 服务器进行任何更改。
您可以轻松地将本地数据库添加到 OpenLDAP 的同一实例,以包含引用来自所有代理域的用户的组。他们将在此服务器上拥有唯一的 DN,只需将它们添加到组中即可。
您的组织是否使用 Active Directory?您可以使用 LDAP 轻松地与 AD 交互,并且由于 AD 是一个复制的分布式系统,因此它本质上是单一来源。或者也许我遗漏了您的某些要求和/或您的环境?