У меня следующая ситуация: у меня есть веб-сайт, который должен аутентифицировать пользователей, некоторые из них будут внутренними пользователями, которые хранятся в домене активного каталога, но будут другие пользователи (например, клиенты и подрядчики), которых я не хочу для хранения в AD, но при этом хотелось бы, чтобы они поддерживались в центральной базе данных LDAP.
Итак, я подумал, что было бы неплохо аутентифицировать веб-сервер по локальному LDAP, и, если пользователь не был найден, он прозрачно передает запрос на сервер AD LDAP.
Это возможно? Я просмотрел документацию по LDAP и все еще не совсем уверен во всех доступных вариантах.
Я бы использовал OpenLDAP в Linux.
Вы можете хранить их в разделе ADAM (в 2008 году он называется AD LDS). Тогда вы можете иметь всех своих пользователей (внутренних и внешних) в одной службе каталогов. Вам не нужно будет управлять openldap, и вы можете использовать те же инструменты, которые используются для управления вашими существующими пользователями, для управления вашими внешними пользователями, не помещая внешнего пользователя в ваш текущий лес. Вы можете найти обзор ADAM здесь:Создавайте собственные каталоги с ADAM
Да, вы можете настроить OpenLDAP для работы в качестве кэширующего прокси-сервера LDAP, поддерживаемого AD.
Видеть этот например (но просто выполните поиск по запросу «может openldap прокси ldap запросы к активному каталогу», и вам будет что просмотреть ».