我可以通过另一个LDAP服务器获得ADauthentication吗?

我需要build立一个AD。 我所在的大型组织拥有自己的LDAP服务,用于处理身份validation和其他一些细节。 我想让AD使用该LDAP信息仅用于身份validation目的。 这可能吗?

我真的要看你花了多less时间,专业知识和金钱。 FIM(Forefront Identity Manager)是一个很好的select,如果你只是想同步基本属性,包括用户名/密码。 然而,这不是我的大学所做的事情,我们总是需要比IDM解决scheme真正提供的更多的灵活性,这就是为什么我们使用LDAPS开发了我们自己的用Perl编写的内部中间件。 这使得我们可以在需要时更新我们想要的内容,以及根据需要尽可能多的灵活性。 我们还强制所有用户使用Web门户进行密码更改,以便我们的目录不会失去同步。 我们目前正在将SUN ONE LDAP系统同步到我们的MS Active Directory中,并且自2002年以来一直在进行。

TL; DR如果您的时间和专业知识不足,而不是使用FIM,则它将按照您的要求进行操作。 如果不是的话,那么欢迎您使用编程语言来编写自己的中间件来做同样的事情。

我知道这样做的唯一方法是创build一个支持LDAP的Kerberos系统,并在非Windows Kerberos领域和Windows领域(也是一个Kerberos领域)之间build立一个Kerberos信任关系。 关键步骤:

  • build立新的Kerberos领域
    • 获取LDAP作为领域的authentication来源
    • 因为这是AD,所以领域将需要创build的Kerberos DNS SRVlogging。
  • build立信任
    • 由于AD将信任Kerberos领域,这将是一种单向信任
    • 拥有这些凭据的用户必须使用支持Kerberos的访问方法进行身份validation。 AD的LDAP支持这一点,就像SMB一样(尽pipe我还没有尝试过使用非MS的Curb领域)。

Kerberos是允许AD使用外部LDAP服务器进行身份validation的粘合剂。

我从来没有做过你所描述的事情,至less不是只使用LDAP而不是生产。

AD域不仅仅是身份validation,而且需要的不仅仅是一个LDAP目录的工作,所以我认为你需要部署Samba或其他东西来描述你正在描述的内容(尽pipe你可以让Samba使用LDAP其后盾商店)。 我不确定现在Samba域控制器的状态是什么,但我会开始看这里 (samba.org文档)。

已经走了另一条路(使LDAP对AD进行身份validation并在AD的LDAP存储中存储“其他东西”),这相对容易 – 我会推荐这个,如果在所有的实际情况下,但不知道更多关于你的情况我不能说这是不是正确的举动

之前的ILM,Microsoft FIM将允许LDAP之间的凭据同步。 您仍然需要运行全面的AD,但可以使其与现有的LDAP同步凭据。 它应该对用户透明。

这是我有限的理解,我从来没有工作,也不知道谁有。

根据稀疏的MS文档,您可以在2003年以后使用另一个LDAP服务器的用户名和密码。 但它仍然需要您运行完整的“本地”AD设置与基本上映射到LDAP帐户的帐户。 它使用inetOrgPerson对象。 有限的信息在这里 ,甚至更多“有用的”创build帐户的方向在这里 。

正如另一个海报所提到的,AD不仅仅是简单的身份validation,而且和* nix LDAP这样的竞争确实不太匹配。