首先,我在IIS上的经验不足,我更像是一个linux / apache / nginx的人。
现在我有一个专有的应用程序运行在一个旧的IIS(w2003,我知道不在支持),这是目前使用集成的Windows身份validation对domainA进行身份validation。
我也需要对它进行validation,以完全独立的w2003 AD。 我可以在两个networking之间路由。 这在内部networking上都可以工作。
该应用程序目前将每个domainA用户映射到其个人帐户和详细信息,domainB用户也应该如此。 显然,我不能以任何方式更改应用程序。
我想我可以设置domainA和domainB之间的信任,但如果可能的话,最好避免这种情况。 很长的故事。
我想知道是否可以有其他方法,例如:使IIS也对LDAP进行身份validation,并使domainB AD充当该LDAP。 要不然。 任何有用的东西都可能是有趣的。
没有信任,除非应用程序明确支持添加第二个域标识源(这将需要涉及为第二个域提供凭据),否则几乎肯定会走运。
即使有信任,取决于应用程序的编写程度,以及是否对单一域森林中存在的假设做出了任何假设,您仍然可能还是不走运。 很多应用程序作者对于这类事情只是短视。
如果它神奇地用信任来工作,那么最终可能会碰到随机突破的边缘情况。 如果来自不同域的两个用户碰巧拥有相同的用户名,会发生什么情况? 他们可能会被映射到应用程序中相同的“帐户”。 它可能只是抛出一个错误。
当您开始谈论LDAP和其他身份validation协议时,您将开始模糊IIS的责任与应用程序的责任之间的界限。 特别是对于LDAP,Web服务器不关心任何事情。 使用LDAP身份validation的应用程序通常会将Web服务器configuration为进行基本身份validation(希望通过SSL),并且所有LDAP连接均在应用程序逻辑中处理。
我讨厌成为一个堕落者。 但有了这样一个专有的应用程序和传统的环境,你的前景并不好。