Цель: заставить 389DirectoryServer (AKA Redhat / Centos / Fedora DS) извлекать информацию об учетной записи из AD, позволяя как учетные записи AD, так и собственные учетные записи 389 проходить аутентификацию через 389DS, но с односторонней синхронизацией, AD-> 389. Мы не хотим, чтобы случайные / злонамеренные изменения, сделанные на сервере 389, реплицировались обратно в AD. В идеале нам также не нужно было бы использовать эквивалентного пользователя DomainAdmin.
Вся существующая документация (большинство ссылок http://www.centos.org/docs/5/html/CDS/ag/8.0/Windows_Sync-Configuring_Windows_Sync.html) делает вид, что это двусторонняя синхронизация. Я лаю не на то дерево?
** Изменить: ** Я собирался не объяснять цель более высокого уровня, чтобы сохранить ее сфокусированность, фактический финал для наших студентов (будет предоставлен в 389) и наших сотрудников (в AD), чтобы иметь возможность аутентифицироваться против CAS для наших различных систем, в основном сетевых. (http://www.jasig.org/cas). Не спрашивайте, почему мы так поступаем, это как раз то, что мне предложили поддержать. У меня есть ощущение, что есть более простой / очевидный / более широко документированный способ, но я определенно не эксперт по кросс-платформенной аутентификации / авторизации. (На ум приходят такие слова, как kerberos, RADIUS и / или PAM, но я не правильно знаю, что все это на самом деле, плюсы / минусы и т. д., но поскольку мы уже используем RADIUS против нашего AD для Wireless 802.1x ...)
Мы укусили пулю и поместили все наши (более 20 тысяч) учетные записи студентов в AD. Это сделало некоторые вещи чертовски проще. Один каталог - чтобы управлять ими - намного проще поддерживать для клиентских служб. Нам пришлось создать одностороннюю синхронизацию из нашего мастера идентификации (Banner) и создать полностью отдельную страницу смены пароля для всех.
Это дало нам единый источник LDAP для всей аутентификации. Мы также используем CAS для SSO, и это, безусловно, упростило задачу. Кроме того, наша страница аутентификации WLAN имеет только один каталог для запроса, а также все бесчисленные веб-приложения, не относящиеся к CAS, которые мы используем на веб-серверах отделов.
Да, это возможно. Обновите 389 ds до версии 1.2.7 или выше
Он поставляется с односторонним подключаемым модулем синхронизации AD, который позволяет Windows Sync переходить только из AD в DS или только из DS в AD вместо стандартной двунаправленной синхронизации.
Обратитесь: http://directory.fedoraproject.org/docs/389ds/howto/howto-one-way-active-directory-sync.html
Что произойдет, если вы настроите соглашение о синхронизации, используя учетную запись с доступом только для чтения к AD?
Если это не сработает (в лучшем случае, это может быть что-то вроде взлома), то можете ли вы использовать 389DS ссылки на базу данных или рефералы вместо этого функциональность?