我有两个问题,我希望find一个共同的解决scheme。
首先,我需要find一种将多个LDAP服务器(跨多个域的Windows AD)提供给一个源进行身份validation的方法。 这也需要让本地不能与多个LDAP服务器通信的应用程序正常工作。 我读过这可以用Open LDAP完成。 还有其他解决scheme吗?
其次,我需要能够将这些用户添加到组,而无需对正在代理的LDAP服务器进行任何更改。
最后,这一切都需要在Windows Server 2003/2008上运行。
我为一个非常大的组织工作,并创build多个组,并有大量的用户添加到,移动和从他们中删除是不小的任务。 这通常需要大量的文书工作和大量的时间。 时间是我们通常不会有的事情; 避免文书工作只是一个加号。
我在这方面的经验非常有限,所以我甚至不确定我要问的是什么意思。 Atlassian Crowd接近我们所需要的,但是没有它自己的LDAP前端。 任何人都可以提供任何build议或产品名称?
感谢您的任何帮助,您可以提供。
我推荐OpenLDAP的meta后端( meta backend),它作为一个代理来将来自几个不同服务器的几个命名上下文集成到一棵树中。 我已经成功地用它在几个Windows 2003域上做了这个。
例如,如果您有几个名为ONE.COMPANY.COM和TWO.COMPANY.COM AD域,则最终将使用以下LDAP树:
- DC =公司,DC = COM
- DC =之一,DC =公司,DC = COM
- 用户和来自域
ONE组- DC =二,DC =公司,DC = COM
- 用户和来自域
TWO组
因此,可以将身份validation请求基于基本DN dc=company,dc=com ,这将从任一服务器返回条目。
当然,你必须确保你有一个属性,可以唯一标识所有域名的用户,比如一个电子邮件地址(如果你有两个jdoe用户,你不想使用login名!除非你确定login在所有领域都是独一无二的)。
查看OpenLDAP的后向元手册页 。
其次,我需要能够将这些用户添加到组,而无需对正在代理的LDAP服务器进行任何更改。
您可以轻松地将本地数据库添加到OpenLDAP的同一个实例,以包含引用所有代理域中的用户的组。 他们将在这台服务器上具有唯一的DN,只需将它们添加到组中即可完成。
这是一篇很棒的文章,概述了如何逐步设置: http : //ltb-project.org/wiki/documentation/general/sasl_delegation (请参阅“在多个LDAP目录上进行Pass-Troughvalidation – 使用OpenLDAP ldap后端“)
您的组织是否使用Active Directory? 您可以使用LDAP轻松地与AD进行交互,并且由于AD是一个复制的分布式系统,它本质上是单一来源。 或者,也许我错过了你的要求和/或你的环境?