Ich habe zwei Probleme, für die ich hoffe, eine gemeinsame Lösung zu finden.
Zuerst muss ich einen Weg finden, mehrere LDAP-Server (Windows ADs über mehrere Domänen hinweg) in eine einzige Quelle für die Authentifizierung einzuspeisen. Dies ist auch erforderlich, damit Anwendungen funktionieren, die nicht nativ mit mehr als einem LDAP-Server kommunizieren können. Ich habe gelesen, dass dies mit Open LDAP möglich ist. Gibt es andere Lösungen?
Zweitens muss ich diese Benutzer zu Gruppen hinzufügen können, ohne Änderungen an den LDAP-Servern vornehmen zu können, die ich als Proxy verwende.
Schließlich muss dies alles auf Windows Server 2003/2008 funktionieren.
Ich arbeite für eine sehr große Organisation und es ist keine leichte Aufgabe, mehrere Gruppen zu erstellen und eine große Anzahl von Benutzern hinzuzufügen, zwischen ihnen zu verschieben und aus ihnen zu entfernen. Dies erfordert normalerweise jede Menge Papierkram und viel Zeit. Zeit ist das Einzige, was wir normalerweise nicht haben; dem Papierkram aus dem Weg zu gehen, ist nur ein Plus.
Ich habe in all dem nur sehr begrenzte Erfahrung, daher bin ich mir nicht einmal sicher, ob meine Frage Sinn ergibt. Atlassian Crowd kommt dem, was wir brauchen, nahe, verfügt aber nicht über ein eigenes LDAP-Frontend. Kann jemand Ratschläge oder Produktnamen geben?
Vielen Dank für Ihre Hilfe.
Antwort1
Ich empfehle das Backend von OpenLDAP meta, das als Proxy fungiert, um mehrere Namenskontexte von mehreren verschiedenen Servern in einem einzigen Baum zu integrieren. Ich habe es erfolgreich für genau das in mehreren Windows 2003-Domänen eingesetzt.
Wenn Sie beispielsweise mehrere AD-Domänen mit den Namen ONE.COMPANY.COMund haben TWO.COMPANY.COM, erhalten Sie den folgenden LDAP-Baum:
- dc=Unternehmen,dc=com
- dc=eins,dc=firma,dc=com
- Benutzer und Gruppen aus der Domäne
ONE- dc=zwei,dc=Unternehmen,dc=com
- Benutzer und Gruppen aus der Domäne
TWO
Sie könnten Authentifizierungsanforderungen daher auf dem Basis-DN basieren dc=company,dc=com, der Einträge von beiden Servern zurückgeben würde.
Natürlich müssen Sie sicherstellen, dass Sie über ein Attribut verfügen, mit dem Benutzer in allen Domänen eindeutig identifiziert werden können, z. B. eine E-Mail-Adresse (Sie möchten keinen Anmeldenamen verwenden, wenn Sie zwei jdoeBenutzer haben! Es sei denn, Sie sind sicher, dass die Anmeldungen in allen Domänen eindeutig sind).
KasseBack-Meta-Manpage von OpenLDAP.
Zweitens muss ich diese Benutzer zu Gruppen hinzufügen können, ohne Änderungen an den LDAP-Servern vornehmen zu können, die ich als Proxy verwende.
Sie können derselben Instanz von OpenLDAP problemlos eine lokale Datenbank hinzufügen, die Gruppen enthält, die auf Benutzer aus allen Proxy-Domänen verweisen. Sie haben auf diesem Server eindeutige DNs. Fügen Sie sie einfach zu Gruppen hinzu, und fertig.
Antwort2
Dies ist ein toller Artikel, der die Einrichtung Schritt für Schritt beschreibt:https://www.ltb-project.org/documentation/sasl_delegation.html (siehe "Pass-Trough Authentifizierung auf mehreren LDAP-Verzeichnissen - mit OpenLDAP LDAP-Backend")
Antwort3
Verwendet Ihre Organisation Active Directory? Sie können problemlos über LDAP eine Schnittstelle zu AD herstellen und da AD ein repliziertes, verteiltes System ist, ist es von Natur aus eine einzige Quelle. Oder übersehe ich vielleicht etwas von Ihren Anforderungen und/oder Ihrer Umgebung?