私は2つのMicrosoft Active Directoryを持っています。外部と内部と呼びます。
私がやりたいことは、
- パスワードなしでユーザーを内部 AD に追加します (他の属性をいくつか保存するだけです)。
- ユーザーがログインしようとすると、パスワードが外部 AD と照合されます。
- これはドメイン ユーザーのみを対象としており、管理者を対象としていません。
- 両方の Active Directory は Windows サーバー上にあります。
- 外部サーバーの具体的なバージョンが何であるかはわかりません。ただし、Windows サーバーであることはわかっています。
- Linux 上で openldap を使用してユーザーを認証できます。「ユーザー名とパスワードを入力する」ことで、ユーザーを認証できます。
パスワードなどを盗もうとしているわけではないことに注意してください。内部 AD から外部 AD にユーザー名とパスワードを送信し、外部 AD が一致するかどうか応答するようにしたいだけです。
私の会社には、従業員の外部パスワードを使用するサービスが複数あります (Exchange メールなど)。どこでも同じユーザー名とパスワードを使い続けたいと思っています。
私が持っている権限は次のとおりです:
- 外部 AD に対する「管理者」権限はありません。通常のユーザー権限のみです。
- 内部 AD に対する完全な権限を持っています。
- 内部 AD にログインしようとするコンピューターとユーザーを完全に制御できます。
何人かの人が、クロスレルム Kerberos 信頼を使用するよう提案し、この質問を書くための適切な場所を教えてくれました。クロスレルム Kerberos 信頼について調べたところ、信頼のパスワードを両方の AD に入力する必要があることがわかりました。外部 AD に対する管理者権限がないため、これは実行できません。
ご協力いただければ幸いです。よろしくお願いします
答え1
Active Directory 軽量ディレクトリ サービス(AD LDS) は、あなたが探しているものにぴったりのようです。「内部 AD」と呼んでいるものは、「外部 AD」と呼んでいるものに認証する AD LDS インスタンスである可能性があります。
あなたのユースケースを正確に理解できているか分かりませんが、AD LDS バインドリダイレクトおそらくあなたが探しているものを正確に実現できるでしょう。