Назад | Перейти на главную страницу

Могу ли я связать прокси-пользователей из одного экземпляра LDS с несколькими доменами?

У меня настроены службы Active Directory облегченного доступа к каталогам. У меня есть объекты, представляющие пользователей в Active Directory (Domain_A). Я установил их атрибут objectSID, и пользователи могут аутентифицироваться в LDS с их паролем Active Directory. Я люблю это.

Вот отформатированная сетевая трассировка Wireshark успешной аутентификации прокси-сервера LDS:

LDAP    bindRequest(1) "cn=ixe013,cn=Users,cn=Fizz,dc=Buzz,dc=tst" simple 
KRB5    AS-REQ
KRB5    KRB Error: KRB5KDC_ERR_PREAUTH_REQUIRED
KRB5    AS-REQ
KRB5    AS-REP
KRB5    TGS-REQ
KRB5    TGS-REP
LDAP    bindResponse(1) success 
LDAP    unbindRequest(2)

Я хочу привлечь новых пользователей из другой Active Directory (Domain_B), которая не имеет никаких доверительных отношений с Active Directory из Domain_A.

Есть ли способ указать LDS, в каком домене искать пользователей, или он всегда смотрит в том домене, в котором находится, возможно, используя другой протокол, кроме Kerberos?

+ Я разобрался с синхронизацией пользователей, не нужно об этом упоминать. Спасибо !

ObjectSID на прокси-сервере пользователя ищется с помощью MS-LSAT. http://msdn.microsoft.com/en-us/library/cc234496(v=prot.10).aspx есть подробности. Возьмите netmon (https://www.microsoft.com/download/en/details.aspx?displaylang=en&id=4865) отслеживайте на сервере LDS при выполнении BIND, чтобы увидеть, что произойдет.

Как только домен пользователя будет идентифицирован, он попытается использовать имя пользователя, домен и пароль принципала, с которым вы выполнили BIND, чтобы проверить его на DC соответствующего домена. Если он может найти KDC, тогда Kerberos будет использоваться в соответствии с вашей схемой.

Поскольку у доменов A и B нет доверия, поиск SID завершится ошибкой. Следовательно, эта реализация, которую вы пытаетесь, не сработает.