У меня настроены службы Active Directory облегченного доступа к каталогам. У меня есть объекты, представляющие пользователей в Active Directory (Domain_A). Я установил их атрибут objectSID, и пользователи могут аутентифицироваться в LDS с их паролем Active Directory. Я люблю это.
Вот отформатированная сетевая трассировка Wireshark успешной аутентификации прокси-сервера LDS:
LDAP bindRequest(1) "cn=ixe013,cn=Users,cn=Fizz,dc=Buzz,dc=tst" simple KRB5 AS-REQ KRB5 KRB Error: KRB5KDC_ERR_PREAUTH_REQUIRED KRB5 AS-REQ KRB5 AS-REP KRB5 TGS-REQ KRB5 TGS-REP LDAP bindResponse(1) success LDAP unbindRequest(2)
Я хочу привлечь новых пользователей из другой Active Directory (Domain_B), которая не имеет никаких доверительных отношений с Active Directory из Domain_A.
Есть ли способ указать LDS, в каком домене искать пользователей, или он всегда смотрит в том домене, в котором находится, возможно, используя другой протокол, кроме Kerberos?
+ Я разобрался с синхронизацией пользователей, не нужно об этом упоминать. Спасибо !
ObjectSID на прокси-сервере пользователя ищется с помощью MS-LSAT. http://msdn.microsoft.com/en-us/library/cc234496(v=prot.10).aspx есть подробности. Возьмите netmon (https://www.microsoft.com/download/en/details.aspx?displaylang=en&id=4865) отслеживайте на сервере LDS при выполнении BIND, чтобы увидеть, что произойдет.
Как только домен пользователя будет идентифицирован, он попытается использовать имя пользователя, домен и пароль принципала, с которым вы выполнили BIND, чтобы проверить его на DC соответствующего домена. Если он может найти KDC, тогда Kerberos будет использоваться в соответствии с вашей схемой.
Поскольку у доменов A и B нет доверия, поиск SID завершится ошибкой. Следовательно, эта реализация, которую вы пытаетесь, не сработает.