У меня есть 2 проблемы, которые я надеюсь найти общее решение.
Во-первых, мне нужно найти способ, чтобы несколько серверов LDAP (Windows AD в нескольких доменах) работали в одном источнике для аутентификации. Это также необходимо, чтобы заставить работать приложения, которые изначально не могут взаимодействовать более чем с одним сервером LDAP. Я читал, что это можно сделать с помощью Open LDAP. Есть ли другие решения?
Во-вторых, мне нужно иметь возможность добавлять этих пользователей в группы, не имея возможности вносить какие-либо изменения в проксируемые серверы LDAP.
Наконец, все это должно работать в Windows Server 2003/2008.
Я работаю в очень большой организации, и создание нескольких групп и добавление большого количества пользователей, перемещение между ними и удаление из них - непростая задача. Обычно для этого требуется много документов и много времени. Время - это единственное, чего у нас обычно нет; уклонение от бумажной волокиты - это просто плюс.
У меня очень ограниченный опыт во всем этом, поэтому я даже не уверен, что то, о чем я прошу, будет иметь смысл. Atlassian Crowd близок к тому, что нам нужно, но не имеет собственного интерфейса LDAP. Может ли кто-нибудь дать совет или назвать продукты?
Спасибо за любую помощь, которую вы можете предоставить.
Я рекомендую OpenLDAP meta
backend, который действует как прокси для интеграции нескольких контекстов именования с нескольких разных серверов в одно дерево. Я успешно использовал его для этого на нескольких доменах Windows 2003.
Например, если у вас есть несколько доменов AD с именем ONE.COMPANY.COM
и TWO.COMPANY.COM
, вы получите следующее дерево LDAP:
- dc = компания, dc = com
- dc = один, dc = компания, dc = com
- Пользователи и группы из домена
ONE
- dc = два, dc = компания, dc = com
- Пользователи и группы из домена
TWO
Таким образом, вы можете основывать запросы аутентификации на базовом DN. dc=company,dc=com
, который вернет записи с любого сервера.
Конечно, вы должны убедиться, что у вас есть атрибут, который может однозначно идентифицировать пользователей во всех доменах, например адрес электронной почты (вы не хотите использовать имя для входа, если у вас есть два jdoe
пользователи! Если вы не уверены, что логины уникальны для всех доменов).
Проверять, выписываться Справочная страница Back-Meta OpenLDAP.
Во-вторых, мне нужно иметь возможность добавлять этих пользователей в группы, не имея возможности вносить какие-либо изменения в проксируемые серверы LDAP.
Вы можете легко добавить локальную базу данных к тому же экземпляру OpenLDAP, чтобы она содержала группы, которые ссылаются на пользователей со всех прокси-доменов. У них будут уникальные DN на этом сервере, просто добавьте их в группы, и все готово.
Это отличная статья, в которой рассказывается, как ее настроить шаг за шагом: http://ltb-project.org/wiki/documentation/general/sasl_delegation (см. «Сквозная аутентификация в нескольких каталогах LDAP - с бэкэндом OpenLDAP ldap»)
Ваша организация использует Active Directory? Вы можете легко взаимодействовать с AD с помощью LDAP, и поскольку AD является реплицированной распределенной системой, она по своей природе является единым источником. Или, может быть, мне не хватает ваших требований и / или вашей среды?