我需要build立一个AD。 我所在的大型组织拥有自己的LDAP服务,用于处理身份validation和其他一些细节。 我想让AD使用该LDAP信息仅用于身份validation目的。 这可能吗?
我真的要看你花了多less时间,专业知识和金钱。 FIM(Forefront Identity Manager)是一个很好的select,如果你只是想同步基本属性,包括用户名/密码。 然而,这不是我的大学所做的事情,我们总是需要比IDM解决scheme真正提供的更多的灵活性,这就是为什么我们使用LDAPS开发了我们自己的用Perl编写的内部中间件。 这使得我们可以在需要时更新我们想要的内容,以及根据需要尽可能多的灵活性。 我们还强制所有用户使用Web门户进行密码更改,以便我们的目录不会失去同步。 我们目前正在将SUN ONE LDAP系统同步到我们的MS Active Directory中,并且自2002年以来一直在进行。
TL; DR如果您的时间和专业知识不足,而不是使用FIM,则它将按照您的要求进行操作。 如果不是的话,那么欢迎您使用编程语言来编写自己的中间件来做同样的事情。
我知道这样做的唯一方法是创build一个支持LDAP的Kerberos系统,并在非Windows Kerberos领域和Windows领域(也是一个Kerberos领域)之间build立一个Kerberos信任关系。 关键步骤:
Kerberos是允许AD使用外部LDAP服务器进行身份validation的粘合剂。
我从来没有做过你所描述的事情,至less不是只使用LDAP而不是生产。
AD域不仅仅是身份validation,而且需要的不仅仅是一个LDAP目录的工作,所以我认为你需要部署Samba或其他东西来描述你正在描述的内容(尽pipe你可以让Samba使用LDAP其后盾商店)。 我不确定现在Samba域控制器的状态是什么,但我会开始看这里 (samba.org文档)。
我已经走了另一条路(使LDAP对AD进行身份validation并在AD的LDAP存储中存储“其他东西”),这相对容易 – 我会推荐这个,如果在所有的实际情况下,但不知道更多关于你的情况我不能说这是不是正确的举动
之前的ILM,Microsoft FIM将允许LDAP之间的凭据同步。 您仍然需要运行全面的AD,但可以使其与现有的LDAP同步凭据。 它应该对用户透明。
这是我有限的理解,我从来没有工作,也不知道谁有。
根据稀疏的MS文档,您可以在2003年以后使用另一个LDAP服务器的用户名和密码。 但它仍然需要您运行完整的“本地”AD设置与基本上映射到LDAP帐户的帐户。 它使用inetOrgPerson对象。 有限的信息在这里 ,甚至更多“有用的”创build帐户的方向在这里 。
正如另一个海报所提到的,AD不仅仅是简单的身份validation,而且和* nix LDAP这样的竞争确实不太匹配。