Назад | Перейти на главную страницу

Что подразумевается под «многолесной средой»?

В моих продолжающихся приключениях с LDAP я все время сталкиваюсь с фразой «среда с несколькими лесами».

Хотя я почти уверен, что это не относится ко мне, мне очень любопытно узнать, что это значит.

Короче говоря, это означает, что у вас есть два или более леса, которые должны взаимодействовать. Это означает, что вы либо используете доверительные отношения между лесами, настраивая федеративные службы, либо вручную вводите учетные данные для каждого отдельного подключения.

По моему опыту, это происходит одним из трех способов:

-Ваша компания была приобретена или приобретена другой компанией (и еще не объединила их), или

-У вас есть производственная и тестовая среды, которые вы действительно хотите полностью разделить, или

- Человек, выполняющий роль архитектора в вашей компании, не знает, что у вас может быть более одного домена в одном лесу.

Функциональная интеграция LDAP становится все более слабой при переходе от домена к лесу к нескольким уровням доверия лесов. Внутри домена все по умолчанию является доверенным (но, возможно, не авторизованным), внутри леса транзитивные доверительные отношения позволяют всем доменам-членам иметь видимость и доверять объектам в других доменах-членах, сохраняя при этом такие вещи, как трафик репликации и административные границы под контролем.

Домены, которые имеют тесные организационные отношения, но которые необходимо сохранять отдельно по любой причине, принадлежат лесу, чтобы упростить крупномасштабное администрирование \ организацию. Таким образом, у вас могут быть production.acme.com, test.acme.com, Tokyo.acme.com и т. Д. Как отдельные домены в одном лесу. У вас будет согласованное пространство имен, схема и (в целом) простые механизмы для доступа или предоставления доступа к объектам в разных доменах, потому что по умолчанию у вас есть транзитивные доверительные отношения между всеми доменами в лесу.

Если ваша организационная структура требует, чтобы определенные домены имели другую схему, или вам необходимо, чтобы несколько ИТ-групп нуждались в прямом владении своими службами каталогов, или вам необходимо иметь более полное административное разделение между некоторыми доменами, тогда вам нужна конструкция с несколькими лесами. с некоторыми доверительными отношениями между лесами (или, возможно, только между указанными доменами).

Вышеупомянутое основано на Active Directory, но те же принципы должны применяться к любой среде LDAP.