Мне нужно настроить AD. В более крупной организации, в которой я работаю, есть собственная служба LDAP, которая обрабатывает аутентификацию и некоторые другие детали. Я хочу, чтобы AD использовала эту информацию LDAP только для целей аутентификации. Это возможно?
Единственный известный мне способ сделать это - создать систему Kerberos с поддержкой LDAP и установить доверительные отношения Kerberos между областью Kerberos, отличной от Windows, и доменом Windows (который также является областью Kerberos). Ключевые шаги:
Kerberos - это связующее звено, которое позволяет AD использовать внешний сервер LDAP для аутентификации.
Честно говоря, я зависит от того, сколько времени, опыта и денег вы готовы потратить. FIM (Forefront Identity Manager) - отличный вариант, если вы просто хотите синхронизировать базовые атрибуты, включая имя пользователя / пароль. Однако это не то, чем занимается мой университет, нам всегда требовалось немного больше гибкости, чем когда-либо предлагали решения IDM, поэтому мы разработали собственное промежуточное программное обеспечение, написанное на Perl с использованием LDAPS. Это позволяет нам создавать сценарии обновлений того, что мы хотим, когда мы хотим и где мы хотим, с такой гибкостью, насколько нам нужно. Мы также заставляем всех пользователей использовать веб-портал для смены паролей, чтобы наши каталоги не рассинхронизировались. В настоящее время мы синхронизируем систему SUN ONE LDAP с нашей MS Active Directory с 2002 года.
TL; DR Если у вас мало времени и опыта, но нет денег, используйте FIM, он сделает то, что вы хотите. Если нет, вы можете написать свое собственное промежуточное ПО на любом языке программирования, чтобы сделать то же самое.
Microsoft FIM, ранее ILM, позволит синхронизировать учетные данные между LDAP. Вам все равно потребуется запустить полноценную AD, но вы можете синхронизировать учетные данные с уже существующим LDAP. Он должен быть прозрачным для пользователя.
Я никогда не делал то, что вы описываете, по крайней мере, не только с LDAP и не в продакшене.
Домены AD - это больше, чем просто аутентификация, и для работы требуется гораздо больше, чем просто каталог LDAP, поэтому я думаю, вам нужно развернуть Samba или что-то еще, чтобы то, что вы описываете, произошло (хотя вы можете заставить Samba использовать LDAP как его запасной магазин). Я не уверен, в каком состоянии сейчас находятся контроллеры домена Samba, но я бы начал искать Вот (документы samba.org).
я иметь пошел другим путем (проверка подлинности LDAP-материалов в AD и сохранение «прочего» в хранилище LDAP AD), и это относительно просто - я бы рекомендовал это, если это вообще возможно, но, не зная больше о вашей ситуации, я могу Я не говорю, правильный это ход или нет ...
Это мое ограниченное понимание, у меня это никогда не работало, и я не знаю никого, кто работал бы.
Согласно скудной документации MS, вы можете получить AD в 2003+, чтобы использовать имя пользователя и пароль с другого сервера LDAP. Но для этого по-прежнему требуется запустить полную «локальную» установку AD с учетными записями, которые в основном сопоставлены с учетными записями LDAP. Он использует inetOrgPerson объект. Ограниченная информация Вот, и еще больше "полезных" советов по созданию учетной записи: Вот.
Как упоминалось на другом плакате, AD - это гораздо больше, чем простая аутентификация, и она действительно не очень хороша для конкуренции, такой как * nix LDAP.