Вопросы Теги

Настройка IIS для проверки подлинности Kerberos между лесами

В моем окружении есть два отдельных леса FA.COM и FB.COM и два дочерних домена DA.FA.COM и DB.FB.com. Нет доверия лесов, но существует двустороннее внешнее доверие между DA.FA.COM и DB.FB.com.

У меня есть сервер IIS (IIS8.5 в Windows 2012r2) в DB.FB.com, и я следил за инструкции здесь https://blogs.msdn.microsoft. com / chiranth / 2014/04/17 / setup-kerberos-authentication-for-a-website-in-iis / , чтобы настроить единый вход Kerberos для статического веб-сайта на сервере IIS и заставить его работать для клиентов, получающих доступ из DB.FB.COM.

Однако мне нужно расширить доступ, чтобы разрешить пользователям из DA.FA.COM, входящим в свои клиентские машины (также в DA.FA.COM), получить доступ к статическому веб-сайту (в DB.FB .COM) через Kerberos. В настоящее время пользователи и клиенты DA.FA.COM могут использовать единый вход, но через NTLM вместо Kerberos. (Примечание: я проверяю, работает ли SSO через Kerberos или NTLM, используя для проверки как Fiddler, так и Klist)

Мой вопрос: если я получил kerberos sso для работы в этом домене DB.FB.COM, мне нужны какие-либо дальнейшие конфигурации на сервере IIS для поддержки керберосов между лесами или это вопрос конфигураций между контроллерами домена в DA.FA.COM и DB.FB. Обычно при опросе LDAP Active Directory вы можете написать следующий запрос: ldapsearch -Dbinduser -wbinduserpwd -...

Я использую OpenLDAP, который, к сожалению, не имеет свойства memberOf. Обычно при опросе LDAP Active Directory вы можете написать запрос: 

ldapsearch -Dbinduser -wbinduserpwd -Hldaps://ldapsvr.org -bdn=ldapsvr,dn=org
(&(uid={0},ou=usr,dn=ldapsvr,dn=org)(memberOf=cn=g0001,ou=grps,dn=ldapsvr,dn=org))

, но теперь у меня остался пользователь в: 

dn: uid=u0001,ou=usr,dn=ldapsvr,dn=org
cn: u0001

и группа вроде: 

dn: cn=g0001,ou=grps,dn=ldapsvr,dn=org
cn: g0001
memberUid: u0001
memberUid: u0002

Кто-нибудь знает запрос ldapsearch (в частности, правильный фильтр) для возврата DN пользователя? самое близкое, к чему я могу добраться, - это возврат DN группы, если этот memberUid существует, но не DN пользователя пользователей в группе. Я думал, что вы можете запросить в ldapsearch как SQL: 

select user.dn 
from dit 
where grp.cn{g001}.memberUid{u0001} = TRUE
0
задан 11 February 2017 в 10:28
1 ответ

Я не думаю, что это можно сделать менее чем за два запроса: первый для получения uid , а второй для поиска dn .

В качестве обходного пути. :

  1. в OpenLDAP хранит группы в объектах groupOfNames . Эти объекты допускают использование атрибута member , содержимое которого является полным dn члена;
  2. посмотрите на наложение memberOf , которое позволяет вам для создания обратного членства (как в Active Directory).
0
ответ дан 24 November 2019 в 04:59

Теги

Похожие вопросы