在我继续冒险与LDAP,我不断遇到“多森林环境”的短语。
虽然我非常确定这不适用于我,但我很好奇,知道这意味着什么。
从域 – >森林 – >多个森林信任级别,LDAPfunction集成变得更为松散。 在一个域中,默认情况下,所有默认情况下都是可信的(但可能是未授权的),在森林中,传递信任允许所有成员域具有可见性并信任其他成员域中的对象,同时保持复制stream量和pipe理界限等控制。
为了简化大规模的pipe理和组织,具有密切的组织关系,但由于任何原因需要保持不同的域属于森林。 所以你可能在一个森林中有production.acme.com,test.acme.com,Tokyo.acme.com等等单独的域名。 您将拥有一致的名称空间,以及架构和(通常)用于跨域访问或提供对象访问的简单机制,因为默认情况下,您在林中的所有域之间具有传递信任。
如果您的组织结构要求某些域具有不同的模式,或者您需要多个IT组需要直接拥有其目录服务,或者您需要在某些域之间进行更完整的pipe理分离,则需要多林devise与森林之间的一些信任(或可能只是在指定的域之间)。
以上是基于Active Directory的,但是相同的原则应该适用于任何LDAP环境。
总之,这意味着你有两个或更多的森林需要互动。 这意味着您要么在林间使用信任关系,要么设置联合服务,要么为每个连接手动input凭据。
根据我的经验,这有三种方法:
– 您的公司已经收购或被另一家公司收购(并且尚未合并),或者
– 你有一个Prod和testing环境,你真的想完全分开,或
填写贵公司build筑师angular色的人不知道每个森林可以有多个域名。