Вопрос: Как я могу проксировать несколько LDAP-серверов и по-прежнему группировать пользователей в прокси?


У меня есть две проблемы, на которые я надеюсь найти общее решение.

Во-первых, мне нужно найти способ подключения нескольких LDAP-серверов (Windows AD к нескольким доменам) в один источник для аутентификации. Это также необходимо для того, чтобы получить приложения, которые не могут разговаривать более чем с одним LDAP-сервером. Я читал, что это можно сделать с помощью Open LDAP. Существуют ли другие решения?

Во-вторых, мне нужно иметь возможность добавлять этих пользователей в группы, не внося никаких изменений на серверы LDAP, на которые я прокси-сервер.

Наконец, все это должно работать на Windows Server 2003/2008.

Я работаю в очень крупной организации, создавая несколько групп и добавляя большое количество пользователей, перемещаясь между ними и удаляя их, - немалая задача. Это обычно требует тонны документов и много времени. Время - единственное, чего мы обычно не имеем; уклонение от документов - просто плюс.

У меня очень ограниченный опыт во всем этом, поэтому я даже не уверен, что то, что я прошу, будет иметь смысл. Atlassian Crowd близок к тому, что нам нужно, но не имеет собственного интерфейса LDAP. Может ли кто-нибудь давать какие-либо советы или названия продуктов?

Спасибо за любую помощь, которую вы можете предоставить.


6
2018-01-27 16:38


Источник




Ответы:


Я рекомендую OpenLDAP meta backend, который выступает в качестве прокси для интеграции нескольких контекстов именования с нескольких разных серверов в одном дереве. Я успешно использовал его для этого в нескольких доменах Windows 2003.

Например, если у вас несколько доменов AD с именем ONE.COMPANY.COM а также TWO.COMPANY.COM, вы получите следующее дерево LDAP:

  • DC = компания, DC = COM      
    • DC = один, DC = компания, DC = COM      
      • Пользователи и группы из домена ONE
    • DC = два, DC = компания, DC = COM      
      • Пользователи и группы из домена TWO

Таким образом, вы можете использовать запросы аутентификации на базовом DN dc=company,dc=com, который будет возвращать записи с любого сервера.

Конечно, вы должны убедиться, что у вас есть атрибут, который может однозначно идентифицировать пользователей по всем доменам, таким как адрес электронной почты (вы не хотите использовать имя для входа, если у вас есть два jdoe пользователи! Если вы не уверены, что логины уникальны во всех доменах).

Проверять, выписываться Открытая мета-страница OpenLDAP,

Во-вторых, мне нужно иметь возможность добавлять эти   пользователей в группы, не   вносить любые изменения в серверы LDAP   Я прокси.

Вы можете легко добавить локальную базу данных к тому же экземпляру OpenLDAP, чтобы содержать группы, которые ссылаются на пользователей из всех проксированных доменов. Они будут иметь уникальные DN на этом сервере, просто добавьте их в группы, и все готово.


8
2018-01-27 17:52



Я знаю, что я опаздываю здесь, но для этого требуется доверие между прокси-сервером и субдоменами? Мы пытаемся интегрироваться в несколько клиентских AD, где мы не контролируем под AD. - Josh Smeaton


Это потрясающая статья, в которой описывается, как настроить ее шаг за шагом: http://ltb-project.org/wiki/documentation/general/sasl_delegation (см. «Аутентификация Pass-Trough в нескольких LDAP-каталогах с помощью OpenLDAP ldap backend»)


2
2018-05-04 06:46





Ваша организация использует Active Directory? Вы можете легко взаимодействовать с AD с использованием LDAP, и поскольку AD является реплицированной, распределенной системой, он по своей природе является единственным источником. Или, может быть, я пропустил что-то из ваших требований и / или вашей среды?


0
2018-01-27 16:45



К сожалению, я забыл добавить серверы в несколько доменов. Между ними уже существует настройка доверия, но я не эксперт в этом. Я просто несчастный сок, который застрял в этом. Я обновлю свой вопрос, чтобы отразить домены.