Tengo 2 problemas para los que espero encontrar una solución común.
Primero, necesito encontrar una manera de tener múltiples servidores LDAP (Windows AD en múltiples dominios) alimentados en una única fuente para la autenticación. Esto también es necesario para que funcionen las aplicaciones que no pueden comunicarse de forma nativa con más de un servidor LDAP. He leído que esto se puede hacer con Open LDAP. ¿Existen otras soluciones?
En segundo lugar, necesito poder agregar esos usuarios a grupos sin poder realizar ningún cambio en los servidores LDAP que estoy utilizando como proxy.
Por último, todo esto debe funcionar en Windows Server 2003/2008.
Trabajo para una organización muy grande, y crear varios grupos y agregar, mover y eliminar una gran cantidad de usuarios no es una tarea fácil. Esto normalmente requiere toneladas de papeleo y mucho tiempo. El tiempo es lo único que normalmente no tenemos; Evitar el papeleo es solo una ventaja.
Tengo una experiencia muy limitada en todo esto, por lo que ni siquiera estoy seguro de que lo que pregunto tenga sentido. Atlassian Crowd se acerca a lo que necesitamos, pero no llega a tener su propia interfaz LDAP. ¿Alguien puede dar algún consejo o nombre de producto?
Gracias por cualquier ayuda que usted nos pueda proporcionar.
Respuesta1
Recomiendo metael backend de OpenLDAP, que actúa como un proxy para integrar varios contextos de nombres de varios servidores diferentes en un solo árbol. Lo he utilizado con éxito para hacer precisamente esto en varios dominios de Windows 2003.
Por ejemplo, si tiene varios dominios AD con el nombre ONE.COMPANY.COMy TWO.COMPANY.COM, terminará con el siguiente árbol LDAP:
- dc=empresa,dc=com
- dc=uno,dc=empresa,dc=com
- Usuarios y grupos del dominio
ONE- dc=dos,dc=empresa,dc=com
- Usuarios y grupos del dominio
TWO
Por lo tanto, podría basar las solicitudes de autenticación en el DN base dc=company,dc=com, que devolvería entradas de cualquiera de los servidores.
Por supuesto, debe asegurarse de tener un atributo que pueda identificar de forma exclusiva a los usuarios en todos los dominios, como una dirección de correo electrónico (¡no querrá utilizar un nombre de inicio de sesión si tiene dos jdoeusuarios! A menos que esté seguro de que los inicios de sesión son único en todos los dominios).
VerificarPágina de manual del meta posterior de OpenLDAP.
En segundo lugar, necesito poder agregar esos usuarios a grupos sin poder realizar ningún cambio en los servidores LDAP que estoy utilizando como proxy.
Puede agregar fácilmente una base de datos local a la misma instancia de OpenLDAP para contener grupos que hagan referencia a usuarios de todos los dominios proxy. Tendrán DN únicos en este servidor, simplemente agréguelos a grupos y listo.
Respuesta2
Este es un artículo fantástico que describe cómo configurarlo paso a paso:https://www.ltb-project.org/documentation/sasl_delegation.html (consulte "Autenticación Pass-Trough en varios directorios LDAP - con el backend ldap OpenLDAP")
Respuesta3
¿Su organización utiliza Active Directory? Puede interactuar fácilmente con AD mediante LDAP y, dado que AD es un sistema distribuido y replicado, por naturaleza es de fuente única. ¿O tal vez me falta algo de sus requisitos y/o su entorno?