Вопросы Теги

OpenLDAP с двумя отдельными «бэкэндами» ActiveDirectory

У меня в организации есть следующие настройки:

  • Подорганизация A имеет сервер Microsoft Active Directory, который обслуживает мир «только Windows», то есть у него нет UID или Значения GID для своих пользователей. Пользователи имеют фиксированные имена пользователей (например, «jdoe») и, возможно, меняют адреса электронной почты »jane.doe@A.com "(может измениться на" jane.smith@A.com "в случае брака ...)
  • Суборганизация B имеет сервер Microsoft AD, который обслуживает мир" Unix-осведомлен ", т.е. Значения UID и GUID для своих пользователей. Имена пользователей, как правило, фиксированы, а электронные письма могут изменяться, как указано выше.

В подгруппах обеих организаций может быть "jdoe", представляющий одних и тех же или разных реальных людей (в случае, если это лицо известно обеим подорганизациям)

Теперь мне нужно создать настройку OpenLDAP, которая позволяет:

  • Я живу в подчиненной организации C.
  • Пользователи могут входить в систему, используя своего рода уникальный идентификатор (например, , A \ jdoe или jdoe @ A) и их пароль от их подчиненной организации.
  • Для пользователей из подчиненной организации A необходимо создать своего рода «автоматический» UID. Можно предположить определенный диапазон UID с достаточным пространством (например, 40k-80k).
  • Любая информация о группе из подорганизаций A и B может быть отброшена, но мне нужны группы (в стиле Unix) в подорганизации C, которые содержит пользователей из A и B.
  • В идеале я хотел бы иметь «ручную синхронизацию и сохранение» между AD A и B и моим сервером OpenLDAP, чтобы
    • Я могу аутентифицировать пользователей, хотя соединение с AD для A и B может оборваться.
    • Пользователи, отмеченные как «отключенные», также помечаются как отключенные в моем OpenLDAP после синхронизации
    • Ничего не нужно записывать обратно в AD A и B, но изменения из AD A и AD B должны быть записаны обратно на мой сервер OpenLDAP

На высоком уровне, какой практический подход для этого лучше всего? Какие соответствующие термины следует искать в документации и книгах по LDAP / OpenLDAP. Не будучи экспертом в LDAP / OpenLDAP, похоже, что везде, где люди пишут о нем, используется много предметно-ориентированного языка ...

0
задан 2 November 2017 в 23:40
1 ответ

В конце концов я решил эту проблему, создав экземпляр OpenLDAP, в который я загружаю необходимую информацию об учетной записи. Аутентификация на основе пароля реализуется с помощью прокси-сервера LDAP с двумя внутренними процессами.

0
ответ дан 5 December 2019 в 07:10

Теги

Похожие вопросы