Mic*_*ael 2 ldap active-directory
我将对LDAP用户和组的引用导入到数据库中。因此,我需要定期同步这些用户和组。
当LDAP支持唯一标识符(UID)时,我很清楚如何同步这些对象。例如,Active Directory支持objectGUID属性。
在这种情况下,当用户(或组)移动到LDAP树中的其他位置并因此更改了其DN时,我仍然可以使用UID找到它并更新用户。
LDAP不支持UID且DN更改时该怎么办?
如果我使用旧的DN,则找不到用户(或组),因此需要删除该用户。
但是,当用户移动到LDAP树中的其他位置(其DN更改)并从LDAP中删除用户时,如何区分用例?
当它移动时,我应该找到它并更新到新的DN。删除后,我需要将其删除。
我不知道怎么做。
我可以使用用户名(登录名)进行用户同步吗?
我应该对LDAP组使用什么?
如果要支持多个LDAP服务器,那么明智的选择是使ID可配置,即在部署过程中要求用户提供唯一属性。如果您的客户使用LDAP进行身份验证,那么这将在100%的情况下为您服务,因为即使目录服务器本身也不支持唯一属性,他们也必须手动保持至少其中一个唯一,以便使连接的系统能够针对它们进行身份验证LDAP,因为当身份验证后端中有重复项时,您不太可能找到能正常运行的软件。
当然,在部署过程中,您可以建议默认属性,该属性在某些LDAP实现中是唯一的(例如samAccountName在AD中),在大多数情况下,您将获得正确的属性。
| 归档时间: |
|
| 查看次数: |
277 次 |
| 最近记录: |