Представьте себе компанию, в которой всего пять сотрудников, где отдельного виртуального / облачного сервера удаленного рабочего стола достаточно для удовлетворения всех потребностей компании. Этот RDS хранит все программы и файлы клиента. Все учетные записи пользователей создаются на самом сервере RDS.
Теперь мы хотим реализовать единый вход для доступа к VPN. В других инфраструктурах мы можем получить доступ к AD с помощью LDAP, чтобы использовать одну и ту же базу данных пользователей для каждого клиента в брандмауэре.
Есть ли возможность получить доступ к локальным пользователям RDS через LDAP? Не удалось найти никаких инструментов / услуг. Насколько я знаю, AD LDS обслуживает пользователей из собственной базы данных.
Вы можете использовать WINNT-провайдер. Очевидно, что многие атрибуты в AD не существуют для локальных учетных записей, но они работают.
Обычно я настраиваю службу RADIUS (в составе Windows Server Authentication Server или IAS). Затем я настраиваю vpn-сервер в качестве клиента RADIUS для службы IAS.
Radius функционирует как системно-независимый мост аутентификации, и его очень легко настроить для простого использования, даже если на первый взгляд он выглядит ужасающе устрашающим (хотя множество практических рекомендаций в google-range).
Короткий ответ - это зависит от обстоятельств.
Если вы просто хотите использовать клиент LDAP для доступа к серверу Active Directory, тогда да - это возможно. Синтаксис запросов для поиска LDAP поддерживается Active Directory (см. эта статья в технике).
Точно так же многие популярные языки программирования / сценариев имеют модули или расширения LDAP. Поскольку синтаксис запросов LDAP стандартизирован, вы должны обнаружить, что они также поддерживают взаимодействие с AD.
Экземпляры, в которых это может не выполняться, - это приложения, у которых есть предопределенный запрос для поиска информации (например, приложение ожидает атрибут «идентификатор пользователя», тогда как AD может вместо этого предоставлять «uid»).
Хорошей отправной точкой для изучения того, будет ли эта схема работать в вашей среде, является установка клиентских инструментов OpenLDAP и попытка подключиться к AD и опрашивать пользователей. В указанной выше статье есть несколько полезных учебников о том, как начать этот процесс.
РЕДАКТИРОВАТЬ
Эта статья предоставляет некоторые дополнительные инструкции по настройке и практические инструкции по тестированию подключения LDAP к AD. Он немного устарел, и, немного поискав, вы можете найти лучший учебник.