Я рекомендую OpenLDAP meta
бэкенд, который действует как прокси для интеграции нескольких контекстов именования с нескольких различных серверов в одном единственном дереве. Я успешно использовал его, чтобы сделать просто это на нескольких доменах Windows 2003.
Например, если у Вас есть несколько названных доменов AD ONE.COMPANY.COM
и TWO.COMPANY.COM
, Вы закончили бы со следующим деревом LDAP:
- dc=company, dc=com
- dc=one, dc=company, dc=com
- Пользователи и Группы от домена
ONE
- dc=two, dc=company, dc=com
- Пользователи и Группы от домена
TWO
Таким образом Вы могли основывать запросы аутентификации на основном DN dc=company,dc=com
, который возвратил бы записи из любого сервера.
Конечно, необходимо удостовериться, что у Вас есть атрибут, который может однозначно определить пользователей по всем доменам, таким как адрес электронной почты (Вы не хотите использовать имя для входа в систему, если Вы имеете два jdoe
пользователи! Если Вы не уверены, что логины уникальны по всем доменам).
Проверьте страницу справочника спины-meta OpenLDAP.
Во-вторых, я должен смочь добавить тех пользователей к группам не имея возможности для внесения любых изменений в серверы LDAP, которые я проксирую.
Можно легко добавить локальную базу данных к тому же экземпляру OpenLDAP, для содержания групп что ссылочные пользователи от всех проксированных доменов. У них будет уникальный DNS на этом сервере, просто добавьте их к группам, и Вы сделаны.
То, что Вы имеете, обычно корректно. Документы по умолчанию 'просто работают'.
Одна вещь, которая может выключить документы по умолчанию, добавляет подстановочное отображение сценария. т.е. * для aspnet_isapi.dll. Если Вы делаете это затем, необходимо записать собственный обработчик документов по умолчанию начиная с / путь обрабатывается.NET вместо IIS 6 обработчик документов по умолчанию. Это - мое главное предположение на том, что происходит.