服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 我可以将代理用户从单个LDS实例链接到多个域吗?
Intereting Posts
无法更新我的SSL证书 opscenter REST API启用身份validation时 如果我别名“..”为“cd ..”,是否会破坏任何内容? 每个应用程序find的Avahi和Zeroconf服务器,但不是由Safari Server 2008打印服务器与networking打印机 imapd:'用户名':没有这样的文件或目录 默认所有的PHP生成和Apache服务页面不caching 作为节点数量增加的Redis高性能坦克 较新的Docker客户端与较旧的Docker主机 当它指向AWS EC2 tomcat时,如何保护godaddy上的子域名? 如何在cygwin中运行easy_install? 用ext4fs恢复损坏的分区表 寻找有关在Windows 2008下使用NFS的好build议 Exchange 2007移动数据库 – 估计需要多长时间? “域名规范非公有DNS”是什么意思?

我可以将代理用户从单个LDS实例链接到多个域吗?

我有一个Active Directory轻量级目录服务设置。 我有代表Active Directory(Domain_A)中的用户的对象。 我已经设置了它们的objectSID属性,用户可以使用它们的Active Directory密码对LDS进行身份validation。 我喜欢它。

这里是一个成功的LDS代理authentication的格式化Wiresharknetworking跟踪: 

 LDAP bindRequest(1)“cn = ixe013,cn = Users,cn = Fizz,dc = Buzz,dc = tst”simple 
 KRB5 AS-REQ
 KRB5 KRB错误:KRB5KDC_ERR_PREAUTH_REQUIRED
 KRB5 AS-REQ
 KRB5 AS-REP
 KRB5 TGS​​-REQ
 KRB5 TGS​​-REP
 LDAP bindResponse(1)成功 
 LDAP unbindRequest(2)

我想从不同于Domain_A的Active Directory的任何Active Directory(Domain_B)中引入新的用户。

一个LDS实例,两个Active Directory

有没有办法告诉LDS在哪个域中查找用户,还是总是查看它所在的域,可能是通过使用Kerberos之外的其他协议?

+我想出用户configuration,不需要提及。 谢谢 !

使用MS-LSAT查找用户代理上的objectSID。 http://msdn.microsoft.com/en-us/library/cc234496(v=prot.10).aspx有详细信息。 在BIND上执行一个netmon( https://www.microsoft.com/download/en/details.aspx?displaylang=en&id=4865 )跟踪LDS服务器,看看会发生什么。

一旦用户的域名被识别出来,它就会尝试使用你所做BIND的主体的用户名,域名和密码,以便对相关域的DC进行validation。 如果它能find一个KDC,那么Kerberos会按照你的图来使用。

由于域A和域B不信任,所以SID查找将失败。 因此,你正在尝试这个实现将无法正常工作。