我在stakoverflow问这个问题没有答案,所以我在这里尝试我的运气,因为它可能更加相关的系统pipe理员..
我们正在尝试开发一个ACL解决scheme,以满足内部用户(目前通过Windows AD以外的项目进行pipe理)和外部用户的需求。 这个想法是有一个新的LDAP服务器,另一个Windows AD或非AD服务器,如openldap,将用于pipe理外部用户和所有用于ACL的组。
然后设置内部Windows AD的引用,以便内部和外部帐户都可以使用身份validation,而在新LDAP服务器中定义的组的成员资格将对内部和外部帐户开放。
问题是让推荐工作,首先下面这个文档http://technet.microsoft.com/en-us/library/cc978014.aspx (在“创build一个内部位置的外部交叉引用”下)似乎你需要让外部ldap服务器具有与内部域相同的域,这似乎是一个问题,至less在使用Windows AD作为外部服务器时也是如此。
此外,由于安全限制,无法创build信任关系,因此可以将内部用户添加为在外部服务器中创build的组的成员。 那么有没有办法解决这个问题? 使用openldap而不是Windows AD作为外部服务器更好吗?
任何指针将不胜感激。
干杯
你想要做的事听起来很像一个信任。
那些ACL在哪里? 在某些情况下,单向信任可能是合适的。
或者,查看可用于联合访问的ADFS(活动目录联合服务),而无需实际信任,这对于外部合作伙伴等非常有用。
http://msdn.microsoft.com/en-us/library/ms674895%28v=vs.85%29.aspx
我不知道为什么你想要使用OpenLDAP而不是第二个AD森林的单向信任,但是,对于你的问题,我从来没有看到一个crossRef实现一个外国目录。 这就是说我没有看到任何理由需要在一个连续的命名空间。