我正在使用Linux和Windows服务器混合使用,希望能够使用AD来集中LDAP身份validation过程。
我最近安装了Windows 2012 R2服务器作为域控制器。 我有LDAP信息来访问我们公司的LDAP服务器,但还没有find如何设置密码引用过程。 人们build议使用OpenDJ或OpenLDAP,但我想我至less会尝试使用本机应用程序来获得此设置。 经过几个小时的阅读,并看着我在想这是行不通的。
关于如何进行这项工作的build议?
总结:我在subdom.company.com有一些设备。 ldap.company.com上有一个LDAP服务器,如果我只能连接/指向我的域,那么它可用于身份validation。 我应该继续使用Windows 2012 R2还是切换到Samba? 其他一些途径?
更新:直到最近我们的设备几乎完全是CentOS / Debian。 我们用NIS来维护帐户,一切都很好。 现在,我们添加了更多的Windows客户端,并有机会获得由大公司的服务器处理的所有authentication。 IE不再需要在每个文件服务器上(通过samba)为Windows客户端进行设置。
我对“密码转介”的含义有点不清楚。 我想你是说你希望Active Directory根据你的“ldap.company.com”服务器托pipe的LDAP目录来validation用户。
假设情况如下:Active Directory中没有function来执行您正在查找的function。 活动目录(除其他外)是由LDAP可访问目录支持的Kerberos密钥分发中心(KDC)。 它在function上与您现有的LDAP目录类似。 它没有function“代理”到另一个LDAP目录的身份validation。
您可以与其他Kerberos领域build立信任关系。 如果您有另一个Kerberos实现返回到您的现有LDAP目录,则可以在新的Active Directory和领域之间创build领域信任。 这将允许来自Kerberos领域的安全主体被授予对Active Directory林/域中资源的访问权限。
就像我刚才说的,有一点你不清楚你要完成什么。 如果您不需要/不需要Active Directory重复的所有function,那么使用Samba将authentication后端validation到LDAP服务器可能会更好。 (如果你将提供更多关于你想要做什么的叙述,我可以扩展这个答案。)
编辑:
根据你的编辑,我可以告诉你,Active Directory不会做你想要的。 您不能将身份validation从AD卸载到另一个LDAP目录。 它不会那样做。
如果我处于这种情况,我可能会创build一个Kerberos域到您的LDAP目录 ,将Windows客户端连接到新的Active Directory域,在Active Directory域和Kerberos域之间创build领域信任关系,最后configurationWindows客户端允许使用Kerberos凭据的SSO。