我在我的组织中有以下设置:
- 子组织A具有Microsoft Active Directory服务器,该服务器为“仅Windows”世界提供服务,即其用户没有 UID或GID值。 用户具有固定的用户名(例如,“jdoe”),并且可能改变电子邮件地址“[email protected]”(可能在结婚时变成“[email protected]”…)
- 子组织B有一个微软的AD服务器,它服务于一个“Unix感知”的世界,也就是说,它为用户提供了UID和GUID值。 用户名一般是固定的,电子邮件可以像上面那样更改。
在两个组织中都可以有一个“jdoe”,代表相同或不同的真实世界的人(如果这个人是两个子组织都知道的话)
现在,我需要创build一个OpenLDAP设置,允许以下几点:
- 我住在子组织C.
- 用户可以使用某种唯一的ID(例如,A \ jdoe或jdoe @ A)及其子组织的密码进行login。
- 对于来自子组织A的用户,必须创build某种“自动”UID。 可以假设一定范围的UID具有足够的空间(例如,40k-80k)。
- 来自子组织A和B的任何组信息都可以被丢弃,但是我需要在子组织C中有(Unix风格的)组,其中包含来自A和B的用户。
- 理想情况下,我想在A和B的AD和我的OpenLDAP服务器之间进行“手动同步和保存”
- 尽pipe与A和B的AD连接可能中断,但我可以对用户进行身份validation。
- 标记为“禁用”的用户在同步之后,在我的OpenLDAP中也被标记为禁用
- 没有必要被写回A和B的AD,但AD A和AD B的变化必须被写回到我的OpenLDAP服务器。
在高层次上,这个最好的方法是什么? 在LDAP / OpenLDAP的文档和书籍中查找哪些相关术语。 不是LDAP / OpenLDAP方面的专家,似乎在人们写下任何地方都会使用很多特定领域的语言。