我有一个关于AD LDS的目的的问题。
目前我正在玩弄Windows服务器基础设施,以更好地了解其内部工作,并旨在build立一个简单的testingnetworking。 我完成了安装和设置我的域控制器(安装了AD DS,DHCP和DNS),现在打算构build一个外部networking(在商业世界中更常称为DMZ区域),这可能包含共享点或正常Web应用程序。
从我研究的内容来看,我知道我可以使用LDAP身份validation在我的Web应用程序上执行单点login。 我也了解AD DS也安装了LDAP端口。 我的问题是,在这种情况下,我还需要使用AD LDS吗?
从我所了解的AD LDS,它允许我从我的活动目录同步用户数据。 通过同步数据,我可以执行ldap身份validation。 但是,如果不使用AD LDS,也可以达到同样的效果吗? 我仍然可以连接到我的Active Directory的LDAP端口,仍然实现相同的事情吗?
我不认为你需要使用LDS。
AD LDS是一个基本的LDAP目录; AD DS与Windows特定的东西剥离出来。 您可以在一台服务器上拥有大量LDS实例(位于不同端口上),而域控制器上只能有一个AD DS实例。
如果您希望在AD LDS中使用AD DS用户,则可以使用ADAMSync,但不会同步密码。
如果要使用相同的密码,则可以在AD LDS中使用userProxy或userProxyFull对象,但需要将objectSID从AD DS用户帐户复制到AD LDS用户帐户代理。 而且它要求您的LDS服务器能够联系您的AD DS域控制器进行用户身份validation。 应用程序将ID和密码传递给LDS。 LDS执行对Id的查找并检索它转发给DC的objectSID。 然后它将DC的响应传递回应用程序。 userProxy可能很痛苦 – 如果一个帐户被删除,然后重新创build,你必须记得更新LDS中userProxy对象中的objectSid 。
无论你是否应该通过DMZ或其中托pipe的应用程序将AD DS公开到互联网,都是另一个问题。 但这是一个devise问题,而不是技术问题。 顺便说一下,我可能不会说。