我们有一个孤立的networking服务。 这些服务需要根据Active Directory服务器对用户进行身份validation。
但是,Active Directory服务器不是直接可用的,所以我必须在隔离networking中设置LDAP代理。 LDAP代理将有权访问AD。 请注意,访问必须是只读的,这个代理将只能访问一个 AD服务器。
谢谢。
这可能/可行吗?
这是既可行又常见的。 如果你search的东西像openldap代理活动目录,你会发现一些有用的结果。
术语“代理”是一个好的术语吗?
这绝对是正确使用的术语。
微软的AD服务器是强制性的还是OpenLDAP能够正常工作?
如果你的客户只需要一个LDAP服务器,那么OpenLDAP就没问题,特别是如果你只需要只读访问权限的话。
我对AD / LDAP知之甚less,学习曲线如何?
不知道你的背景是一个很难回答的问题。 我发现LDAP是非常简单的,但是在OpenLDAP的访问控制方面你可能需要一些工作。
几点提示从哪里开始?
如果您只需要在本地networking中使AD服务器可用,那么简单的TCP代理或适当的iptables规则将比完整的LDAP代理简单得多。 这个缺点是你需要在Active Directory方面执行任何访问控制。
如果您决定使用OpenLDAP作为代理:
一步一步安装和configurationOpenLDAP作为代理Active Directory似乎符合标题的帐单,但它不是很好的指导。
Samba文档在这些方面有一些注释。
我几年前写的这篇文章比你想的要多,但是确实有一些configuration的例子。
活动目录轻量级目录服务看起来正是你所需要的 – 但是如果你想直接对AD进行身份validation,你可以做一个TCP代理回到你的AD服务器; HAProxy将是一个不错的select。