我们希望主要使用LDAP作为authentication的一种手段,在我们的Linux和Windows包括的环境中进行authentication。 我想知道是否有一种方法可以使用我们现有的LDAP服务器在使用AD的Windows计算机上对用户进行身份validation? 从工程/pipe理angular度看,这对于用户pipe理员来说只有一个集中的位置显然是非常有帮助的。 到目前为止,我们在LDAP中设置了一个用户,但是这不会触及我们的Windows机器,因此我们必须在AD中创build域用户。 只是想简化stream程,并允许在更重要的事情上工作。 多谢你们!
*我偶然发现了adLDAP, http: //adldap.sourceforge.net/,这似乎是一个很好的起点。
您无法使用任何ol LDAP服务器作为Windows机器的身份validation源。 Active Directory不仅仅是一个LDAP服务器。
假设你不介意没有组策略,我会考虑创build一个具有LDAP支持的身份validation的Samba域来join你的Windows机器。 这与使用当前的基于Unix的工具可以到达Active Directory环境差不多。 Samba最终将能够模拟Active Directory域,但目前还没有。
如果你想用你现有的LDAP作为你的主要目录,那么Evan Anderson的回应是很重要的。
如果您愿意放弃现有的LDAP并将所有内容都从Active Directory中删除,那么这应该是可能的。 任何目前针对您的非AD ldap进行身份validation的function都应该能够针对AD进行身份validation,这要归功于AD公开的ldap接口。 当然,如果你使用LDAP来进行其他事情(不仅仅是authentication),那么你可能会遇到问题,除非你也可以让AD支持这些function(通过应用必要的模式等)
至于adLDAP,我从来没有使用它,但快速看看你提供的链接看起来像是一个简单的客户端库与AD交谈。 从整合到一个目录的angular度来看,我认为它不会对你有所帮助。
但是,它可能会使保持单独的目录更容易。 例如,如果您可以修改您的LDAP用户pipe理软件以通过adLDAP进行AD后端调用,则可以将用户添加到LDAP中自动将用户添加到AD等。
我相信你可以使用Samba,kerberos和LDAP来通过ADauthenticationWindows机器。 我不确定这是多么明智。
您可以使用ldap工具(例如ldapadd,ldapmodify,ldap delete)或库(例如PHP或perl LDAP模块)来填充和维护AD中的条目。
所以没有理由不能为用户pipe理编写脚本,它不会同时更新LDAP和AD目录。