Назад | Перейти на главную страницу

Когда действительно требуется AD LDS

У меня вопрос относительно цели AD LDS.

В настоящее время я экспериментирую с инфраструктурой серверов Windows, чтобы лучше понять их внутреннюю работу и попытаться построить простую тестовую сеть. Я завершил установку и настройку своего контроллера домена (с установленными AD DS, DHCP и DNS), и теперь я собираюсь построить внешнюю сеть (более известную как зона DMZ в деловом мире), которая, вероятно, будет содержать точку общего доступа или обычную веб приложение.

Из того, что я исследовал, я понимаю, что могу использовать аутентификацию LDAP для выполнения единого входа в свои веб-приложения. Я тоже понимаю, что AD DS также поставляется с портом LDAP. Мой вопрос в том, нужно ли мне по-прежнему использовать AD LDS в этой ситуации?

Насколько я понимаю, AD LDS позволяет мне синхронизировать пользовательские данные из моего активного каталога. С данными синхронизации я могу затем выполнить аутентификацию ldap. Однако того же можно добиться и без использования AD LDS, верно? Я все еще могу подключиться к порту ldap в моем активном каталоге и добиться того же, верно?

Я не думаю что ты необходимость использовать СПД.

AD LDS - это базовый каталог LDAP; AD DS с удаленным специфическим для Windows материалом. У вас может быть много экземпляров LDS (на разных портах) на одном сервере, тогда как у вас может быть только один экземпляр AD DS на контроллере домена.

Если вы хотите, чтобы ваши пользователи AD DS были в AD LDS, вы можете использовать ADAMSync, но это не синхронизирует пароли.

Если вы хотите использовать те же пароли, вы можете использовать userProxy или userProxyFull объекты в AD LDS, но для этого необходимо скопировать objectSID из учетной записи пользователя AD DS в прокси-сервер учетной записи пользователя AD LDS. И для этого требуется, чтобы ваш сервер LDS мог связаться с контроллером домена AD DS для аутентификации пользователя. Приложение передает идентификатор и пароль LDS. LDS выполняет поиск идентификатора и получает идентификатор объекта, который он пересылает в контроллер домена. Затем он передает ответ DC обратно приложению. userProxies может быть проблемой - если учетная запись будет удалена, а затем воссоздана, вы должны не забыть обновить objectSid в userProxy объект в LDS.

Другой вопрос, следует ли предоставлять доступ к своим AD DS в Интернет через DMZ или приложениям, размещенным в нем. Но это проблема дизайна, а не технического характера. Кстати, я бы сказал, наверное, нет.