У меня вопрос относительно цели AD LDS.
В настоящее время я экспериментирую с инфраструктурой серверов Windows, чтобы лучше понять их внутреннюю работу и попытаться построить простую тестовую сеть. Я завершил установку и настройку своего контроллера домена (с установленными AD DS, DHCP и DNS), и теперь я собираюсь построить внешнюю сеть (более известную как зона DMZ в деловом мире), которая, вероятно, будет содержать точку общего доступа или обычную веб приложение.
Из того, что я исследовал, я понимаю, что могу использовать аутентификацию LDAP для выполнения единого входа в свои веб-приложения. Я тоже понимаю, что AD DS также поставляется с портом LDAP. Мой вопрос в том, нужно ли мне по-прежнему использовать AD LDS в этой ситуации?
Насколько я понимаю, AD LDS позволяет мне синхронизировать пользовательские данные из моего активного каталога. С данными синхронизации я могу затем выполнить аутентификацию ldap. Однако того же можно добиться и без использования AD LDS, верно? Я все еще могу подключиться к порту ldap в моем активном каталоге и добиться того же, верно?
Я не думаю что ты необходимость использовать СПД.
AD LDS - это базовый каталог LDAP; AD DS с удаленным специфическим для Windows материалом. У вас может быть много экземпляров LDS (на разных портах) на одном сервере, тогда как у вас может быть только один экземпляр AD DS на контроллере домена.
Если вы хотите, чтобы ваши пользователи AD DS были в AD LDS, вы можете использовать ADAMSync, но это не синхронизирует пароли.
Если вы хотите использовать те же пароли, вы можете использовать userProxy
или userProxyFull
объекты в AD LDS, но для этого необходимо скопировать objectSID
из учетной записи пользователя AD DS в прокси-сервер учетной записи пользователя AD LDS. И для этого требуется, чтобы ваш сервер LDS мог связаться с контроллером домена AD DS для аутентификации пользователя. Приложение передает идентификатор и пароль LDS. LDS выполняет поиск идентификатора и получает идентификатор объекта, который он пересылает в контроллер домена. Затем он передает ответ DC обратно приложению. userProxies может быть проблемой - если учетная запись будет удалена, а затем воссоздана, вы должны не забыть обновить objectSid
в userProxy
объект в LDS.
Другой вопрос, следует ли предоставлять доступ к своим AD DS в Интернет через DMZ или приложениям, размещенным в нем. Но это проблема дизайна, а не технического характера. Кстати, я бы сказал, наверное, нет.