共通の解決策を見つけたいと考えている問題が 2 つあります。
まず、複数の LDAP サーバー (複数のドメインにまたがる Windows AD) を認証用の単一のソースにフィードする方法を見つける必要があります。これは、複数の LDAP サーバーとネイティブに通信できないアプリケーションを動作させるためにも必要です。これは Open LDAP で実行できると読みました。他の解決策はありますか?
次に、プロキシしている LDAP サーバーに変更を加えずに、それらのユーザーをグループに追加できるようにする必要があります。
最後に、これらすべてが Windows Server 2003/2008 で動作する必要があります。
私は非常に大規模な組織で働いていますが、複数のグループを作成し、多数のユーザーを追加、移動、削除するのは簡単な作業ではありません。通常、これには大量の書類と多くの時間が必要です。通常、時間がないのが現状です。書類を回避できるのはプラスです。
私はこの件に関してあまり経験がないので、私が尋ねていることが意味を成すかどうかさえわかりません。Atlassian Crowd は私たちが必要としているものに近いのですが、独自の LDAP フロントエンドを持つには至っていません。どなたかアドバイスや製品名を教えていただけませんか?
ご協力いただければ幸いです。
答え1
私は OpenLDAP のmetaバックエンドをお勧めします。これは、複数の異なるサーバーからの複数の命名コンテキストを 1 つのツリーに統合するプロキシとして機能します。私は、これをいくつかの Windows 2003 ドメインで使用して、これを正常に実行しました。
たとえば、 およびONE.COMPANY.COMという名前の AD ドメインが複数ある場合TWO.COMPANY.COM、LDAP ツリーは次のようになります。
- dc=会社、dc=com
- dc=1、dc=会社、dc=com
- ドメインのユーザーとグループ
ONE- dc=2、dc=会社、dc=com
- ドメインのユーザーとグループ
TWO
したがって、ベース DN に基づいて認証要求を行うことができdc=company,dc=com、どちらのサーバーからもエントリが返されます。
もちろん、電子メール アドレスなど、すべてのドメインでユーザーを一意に識別できる属性があることを確認する必要があります (ユーザーが 2 人いる場合は、ログイン名を使用しないでくださいjdoe。ログインがすべてのドメインで一意であることが確実でない限り)。
チェックアウトOpenLDAP のバックメタマニュアルページ。
次に、プロキシしている LDAP サーバーに変更を加えずに、それらのユーザーをグループに追加できるようにする必要があります。
プロキシされたすべてのドメインのユーザーを参照するグループを含めるために、OpenLDAP の同じインスタンスにローカル データベースを簡単に追加できます。これらのグループはこのサーバー上で一意の DN を持つので、グループに追加するだけで完了です。
答え2
これは、設定方法を段階的に説明した素晴らしい記事です。https://www.ltb-project.org/documentation/sasl_delegation.html (「OpenLDAP ldap バックエンドを使用した複数の LDAP ディレクトリでのパススルー認証」を参照)
答え3
あなたの組織では Active Directory を使用していますか? LDAP を使用すると AD と簡単にインターフェイスできます。AD は複製された分散システムなので、本質的に単一ソースです。それとも、要件や環境について私が何か見落としているのでしょうか?