Назад |
Перейти на главную страницу
OpenLDAP с двумя отдельными «бэкэндами» ActiveDirectory
В моей организации есть следующие настройки:
- Суборганизация A имеет сервер Microsoft Active Directory, который обслуживает мир "только Windows", т.е. нет Значения UID или GID для своих пользователей. Пользователи имеют фиксированные имена пользователей (например, "jdoe") и, возможно, изменяют адреса электронной почты "jane.doe@A.com" (могут измениться на "jane.smith@A.com" при вступлении в брак ...)
- Суборганизация B имеет сервер Microsoft AD, который обслуживает мир, «осведомленный о Unix», т.е. имеет значения UID и GUID для своих пользователей. Имена пользователей обычно фиксированы, а электронные письма могут меняться, как указано выше.
В обеих дочерних организациях может быть "jdoe", представляющий одних и тех же или разных реальных людей (в случае, если человек известен обеим подчиненным организациям)
Теперь мне нужно создать настройку OpenLDAP, которая позволяет:
- Я живу в суборганизации C.
- Пользователи могут входить в систему, используя какой-то уникальный идентификатор (например, A \ jdoe или jdoe @ A) и свой пароль от своей дочерней организации.
- Для пользователей из подчиненной организации A необходимо создать своего рода «автоматический» UID. Можно предположить определенный диапазон UID с достаточным пространством (например, 40–80 000).
- Любая информация о группах из суборганизаций A и B может быть отброшена, но мне нужны группы (в стиле Unix) в суборганизации C, которые содержат пользователей из A и B.
- В идеале я хотел бы иметь «ручную синхронизацию и сохранение» между AD A и B и моим сервером OpenLDAP, чтобы
- Я могу аутентифицировать пользователей, хотя соединение с AD для A и B может оборваться.
- Пользователи, отмеченные как "отключенные", также помечаются как отключенные в моем OpenLDAP после синхронизации.
- Ничего не нужно записывать обратно в AD A и B, но изменения из AD A и AD B должны быть записаны обратно на мой сервер OpenLDAP.
На высоком уровне, какой практический подход для этого лучше всего? Какие соответствующие термины следует искать в документации и книгах по LDAP / OpenLDAP. Не будучи экспертом в LDAP / OpenLDAP, похоже, что есть много предметно-ориентированных языков, используемых везде, где люди пишут об этом ...
В конце концов я решил эту проблему, создав экземпляр OpenLDAP, в который я ввожу необходимую информацию об учетной записи. Аутентификация на основе пароля реализуется с помощью прокси-сервера LDAP с двумя бэкэндами.