Действительно ли возможно настроить один активный каталог к верификации аккаунта нейтрализации к другому?
Станьте консультантом для Предприятий среднего бизнеса (или администратор для одного). Предприятия крупного бизнеса полны бюрократии, она уничтожает всю забаву задания. Предприятия малого бизнеса часто имеют сумасшедших владельцев и сумасшедшие маленькие бюджеты (при требовании функциональности корпоративного класса).
Как всегда, не берите неудачный опыт одной компании быть правилом для всех компаний. Каждое место я работал, отличается, если Вы знаете то, что Вы любите делать, просто необходимо найти место, которое позволяет Вам сделать это.
По крайней мере, этого нет в Active Directory. Напротив, при аутентификации по протоколу Kerberos или LDAP вы должны явно указать отличительное имя вашего пользователя для входа в систему, которое будет включать его доменное имя. Любой «запасной вариант» в этом случае будет неэффективным, поскольку явно указанное доменное имя «ad1» не будет соответствовать «ad2», и аутентификация в любом случае не будет выполнена при запросе к серверам ad2.
Единственный способ достичь своего рода «объединение каталогов», которое вы хотите, - это использовать наложение / абстракцию над используемыми каталогами для выполнения двух поисков - по одному для каждого каталога. Если вы можете изменять свои веб-приложения, вы, вероятно, реализуете API для этого,
Это то, что вам нужно будет обработать на уровне приложения. Если ваше приложение выполняет вызовы аутентификации в AD, вы просто кодируете свое приложение для использования в качестве источника аутентификации и префикс имени пользователя с правильным доменным именем на каждой итерации.
Для этого нет встроенных функций AD.
Мы достигли аналогичного решения, создав AD2 в качестве дочернего домена AD1 (например, ad2.ad1.com). Это позволяет нам добавлять пользователей из родительского домена в группы в дочернем домене и тем самым разрешать учетным записям обоих пользователей проходить аутентификацию в приложении.
Имейте в виду, что это было сделано при полном сотрудничестве ИТ-персонала. На самом деле, они разработали решение для использования в приложениях.
Второе возможное решение - добавить объект crossRef в клиентский AD, который перенаправит или перенаправит запрос авторизации на вторичный LDAP на основе имени. Это потребует от вас передать больше, чем имя пользователя, чтобы найти объект .. Подробнее здесь о пользовательских объектах crossRef в AD.
Для достижения этой цели можно использовать одностороннее доверие. Я не уверен, но должно быть возможно использовать доверие в сочетании с контроллером домена только для чтения из вашего внутреннего домена. Отсутствие сторонних приложений, таких как Atlassians Crowd, которые обеспечивают единый вход для нескольких каталогов.
РЕДАКТИРОВАТЬ - как указано, траст работает только с полностью определенными именами. Я обнаружил, что это хорошо работает для моих внутренних пользователей, так как было достаточно легко попросить их включить свои доменные имена.
Я успешно использовал Crowd для объединения нескольких каталогов в один интерфейс. Не уверен в специфике вашего веб-приложения, но этот продукт (или аналогичный) может быть возможен.