设想一家公司,只有五名员工,一个独立的虚拟/云端远程桌面服务器足以满足公司的所有需求。 此RDS存储客户的所有程序和文件。 所有用户帐户都在RDS服务器上创build。
现在我们要实现一个用于VPN访问的SSO。 在其他基础架构上,我们可以使用LDAP访问AD,为防火墙上的每个客户使用相同的用户数据库。
有没有可能使用LDAP访问RDS本地用户? 找不到任何工具/服务。 据我所知,AD LDS为用户提供自己的数据库服务。
您可以使用WINNT提供程序。 显然AD中的许多属性并不存在于本地帐户,但它确实有效。
简短的答案是 – 这取决于。
如果您只是想使用LDAP客户端访问Active Directory服务器,那么是的 – 这是可能的。 Active Directory支持LDAPsearch的查询语法(查看此Technet文章 )。
同样,许多stream行的编程/脚本语言都有LDAP模块或扩展。 由于LDAP查询语法是标准化的,因此您应该发现它们也支持与AD接口。
这可能不适用的实例是具有用于查找信息的预定义查询的应用程序(例如,应用程序需要属性“userid”,而AD可能会暴露“uid”)。
探索这种安排是否适合您的环境的一个好的起点是安装OpenLDAP客户端工具并尝试连接到AD并查询用户。 上面链接的文章有一些有用的引子如何开始这个过程。
编辑
本文提供了一些testingLDAP到AD连接的进一步configuration和动手说明。 这是一个有点过时,并与一些search,你可能会find一个更好的教程。
我通常会configuration一个半径服务(在Windows中捆绑为Internetvalidation服务器或IAS)。 然后,我将vpn服务器configuration为IAS服务的radius客户端。
Radius的function就像一个系统无关的身份authentication桥梁,即使它看起来令人生畏(乍看之下在google范围有很多howtos),也很容易设置为简单的使用。