目标:使用389DirectoryServer(也称为Redhat / Centos / Fedora DS)从AD获取帐户信息,允许AD帐户和389本机帐户通过389DSauthentication,但同步方式为AD-> 389。 我们不希望在389服务器上进行意外/恶意更改以复制回AD。 理想情况下,我们也不必使用DomainAdmin等效的用户。
所有现有的文档(大多数参考文献http://www.centos.org/docs/5/html/CDS/ag/8.0/Windows_Sync-Configuring_Windows_Sync.html )使其看起来是一个双向同步。 我吠叫错了树吗?
**编辑:**我不打算解释更高层次的目标,为了保持它的专注,实际的结局是我们的学生(在389供应)和我们的员工(在AD)能够authentication对于我们的各种系统,主要是基于networking的CAS( http://www.jasig.org/cas )。 不要问为什么我们这样做,这就是我提供的支持。 我有一个感觉,有一个更简单/更明显/更常见的方式,但我当然不是一个跨平台的身份validation/授权专家(像kerberos,RADIUS和/或PAM的话想到,但我不正确地知道所有这些实际上是什么,优点/缺点等…但由于我们已经使用RADIUS对我们的AD无线802.1x …)
对的,这是可能的。 将您的389 ds升级到版本1.2.7或更高版本
它带有单向AD同步插件,它允许Windows Sync只从AD到DS,或者从DS到AD,而不是仅仅默认的双向同步
请参阅: http : //directory.fedoraproject.org/docs/389ds/howto/howto-one-way-active-directory-sync.html
我们咬紧牙关,把我们所有的(20K以上)学生账户都放进公元。 它使得一些事情变得简单得多。 一个目录到规则它们都很容易支持客户端服务。 我们必须build立一种方式,从我们的身份主(Banner)同步,并build立一个完全独立的密码更改页面供大家使用。
它为我们提供了一个用于所有身份validation的LDAP源。 我们也使用CAS作为SSO,这当然使事情变得更容易。 另外,我们的WLANauthentication页面只有一个目录可供查询,以及我们在部门networking服务器上浏览的无数非CASnetworking应用程序。
如果使用具有对AD的只读访问权限的帐户设置同步协议,会发生什么情况?
如果这不起作用(最好,这可能是一个黑客),那么你可以使用389DS的数据库链接或推介function?