У меня несколько предприятий, которые я хотел бы аутентифицировать на одном сервере для SSO. Я использую сервер каталогов 389 и уже разделил каждый домен на соответствующие OU. Я хотел бы использовать Kerberos для аутентификации, но не могу найти никакой информации о том, как заставить Kerberos обрабатывать несколько доменов.
Kerberos - это плоское пространство имен. Вы либо:
а) установите единый домен в базовом dn вашего LDAP и поместите все учетные записи в глобальную общую область
б) установить домены ниже по дереву (то есть на уровне «домен ou», который вы установили) и настроить доверительные отношения между каждым из них.
Если вы можете хранить принципалов kerberos в ldap, это может немного упростить управление. Это был план?