Назад | Перейти на главную страницу

Как я могу проксировать несколько серверов LDAP, сохраняя при этом группировку пользователей на прокси?

У меня есть 2 проблемы, которые я надеюсь найти общее решение.

Во-первых, мне нужно найти способ, чтобы несколько серверов LDAP (Windows AD в нескольких доменах) работали в одном источнике для аутентификации. Это также необходимо, чтобы заставить работать приложения, которые изначально не могут взаимодействовать более чем с одним сервером LDAP. Я читал, что это можно сделать с помощью Open LDAP. Есть ли другие решения?

Во-вторых, мне нужно иметь возможность добавлять этих пользователей в группы, не имея возможности вносить какие-либо изменения в проксируемые серверы LDAP.

Наконец, все это должно работать в Windows Server 2003/2008.

Я работаю в очень большой организации, и создание нескольких групп и добавление большого количества пользователей, перемещение между ними и удаление из них - непростая задача. Обычно для этого требуется много документов и много времени. Время - это единственное, чего у нас обычно нет; уклонение от бумажной волокиты - это просто плюс.

У меня очень ограниченный опыт во всем этом, поэтому я даже не уверен, что то, о чем я прошу, будет иметь смысл. Atlassian Crowd близок к тому, что нам нужно, но не имеет собственного интерфейса LDAP. Может ли кто-нибудь дать совет или назвать продукты?

Спасибо за любую помощь, которую вы можете предоставить.

Я рекомендую OpenLDAP meta backend, который действует как прокси для интеграции нескольких контекстов именования с нескольких разных серверов в одно дерево. Я успешно использовал его для этого на нескольких доменах Windows 2003.

Например, если у вас есть несколько доменов AD с именем ONE.COMPANY.COM и TWO.COMPANY.COM, вы получите следующее дерево LDAP:

  • dc = компания, dc = com
    • dc = один, dc = компания, dc = com
      • Пользователи и группы из домена ONE
    • dc = два, dc = компания, dc = com
      • Пользователи и группы из домена TWO

Таким образом, вы можете основывать запросы аутентификации на базовом DN. dc=company,dc=com, который вернет записи с любого сервера.

Конечно, вы должны убедиться, что у вас есть атрибут, который может однозначно идентифицировать пользователей во всех доменах, например адрес электронной почты (вы не хотите использовать имя для входа, если у вас есть два jdoe пользователи! Если вы не уверены, что логины уникальны для всех доменов).

Проверять, выписываться Справочная страница Back-Meta OpenLDAP.

Во-вторых, мне нужно иметь возможность добавлять этих пользователей в группы, не имея возможности вносить какие-либо изменения в проксируемые серверы LDAP.

Вы можете легко добавить локальную базу данных к тому же экземпляру OpenLDAP, чтобы она содержала группы, которые ссылаются на пользователей со всех прокси-доменов. У них будут уникальные DN на этом сервере, просто добавьте их в группы, и все готово.

Это отличная статья, в которой рассказывается, как ее настроить шаг за шагом: http://ltb-project.org/wiki/documentation/general/sasl_delegation (см. «Сквозная аутентификация в нескольких каталогах LDAP - с бэкэндом OpenLDAP ldap»)

Ваша организация использует Active Directory? Вы можете легко взаимодействовать с AD с помощью LDAP, и поскольку AD является реплицированной распределенной системой, она по своей природе является единым источником. Или, может быть, мне не хватает ваших требований и / или вашей среды?