Мы находимся в процессе настройки сервера Jabber на Amazon EC2 прямо сейчас, и мы хотели бы, чтобы наши внутренние пользователи аутентифицировались через LDAP, чтобы нам не приходилось создавать / управлять отдельным набором учетных записей пользователей, кроме основного. справочник в офисе.
Мой вопрос: есть ли способ однонаправленно скопировать сегмент нашего внутреннего каталога LDAP (OU учетных записей пользователей) на внешний сервер LDAP и аутентифицировать Jabber против этого?
Мы пытаемся обойтись без того, чтобы наши машины с внешним хостом находились в облаке, напрямую обращаясь к нашей внутренней сети ... Если мы можем реплицировать в одном направлении только подмножество учетных записей пользователей, то, если это будет скомпрометировано, у нас не обязательно будет критическая брешь в безопасности нашей внутренней сети.
вы можете экспортировать часть вашего ldaptree с помощью ldapsearch в файл ldif и добавьте его также на другой сервер ldap с ldapadd или ldapmodify.
есть также продукты, которые поддерживают автоматическую или полуавтоматическую репликацию в одном направлении, например сервер каталогов fedora.
jabber может быть аутентифицирован по ldap, но я не могу вам сказать, как это сделать. возможно, кто-то еще может ответить на эту часть.
Если я правильно понял, вы хотите "протолкнуть" некоторые учетные записи из вашего внутреннего каталога LDAP в другой каталог в облаке?
Если ваш каталог - OpenLDAP, вы можете настроить частичную репликацию, используя конфигурацию на основе push. Увидеть их руководство администратора.
Если нет, вы можете использовать инструмент синхронизации, который будет подключаться к вашему внутреннему каталогу, запрашивать у него учетные записи, которые вы хотите отправить, и подключаться к вашему каталогу в облаке, чтобы обновить их там. Соединитель синхронизации Ldap (LSC) один из таких инструментов, доступный как открытый исходный код.
После создания файла LDIF ldapdiff (https://launchpad.net/ldapdiff) - отличный инструмент для синхронизации изменений между серверами LDAP.