여러 LDAP 서버를 프록시하면서 프록시에 사용자 그룹을 유지하려면 어떻게 해야 합니까?

여러 LDAP 서버를 프록시하면서 프록시에 사용자 그룹을 유지하려면 어떻게 해야 합니까?

공통적인 해결책을 찾고 싶은 두 가지 문제가 있습니다.

먼저, 인증을 위해 여러 LDAP 서버(여러 도메인에 걸친 Windows AD)를 단일 소스에 제공하는 방법을 찾아야 합니다. 이는 기본적으로 둘 이상의 LDAP 서버와 통신할 수 없는 응용 프로그램이 작동하도록 하는 데에도 필요합니다. Open LDAP를 사용하면 이 작업을 수행할 수 있다는 것을 읽었습니다. 다른 해결책이 있나요?

둘째, 프록시 중인 LDAP 서버를 변경하지 않고도 해당 사용자를 그룹에 추가할 수 있어야 합니다.

마지막으로 이 모든 작업은 Windows Server 2003/2008에서 작동해야 합니다.

저는 매우 큰 조직에서 일하고 있으며 여러 그룹을 만들고 많은 수의 사용자를 추가하고, 이동하고, 제거하는 것은 결코 쉬운 일이 아닙니다. 이를 위해서는 일반적으로 수많은 서류 작업과 많은 시간이 필요합니다. 시간은 우리가 일반적으로 가지고 있지 않은 것 중 하나입니다. 서류 작업을 피하는 것은 단지 장점일 뿐입니다.

저는 이 모든 것에 대한 경험이 매우 제한되어 있어서 제가 묻는 것이 이해가 될지조차 확신할 수 없습니다. Atlassian Crowd는 우리가 필요로 하는 기능에 가깝지만 자체 LDAP 프런트엔드를 갖기에는 부족합니다. 누구든지 조언이나 제품 이름을 제공할 수 있습니까?

당신이 제공할 수 있는 도움에 감사드립니다.

답변1

meta저는 여러 다른 서버의 여러 명명 컨텍스트를 하나의 단일 트리에 통합하는 프록시 역할을 하는 OpenLDAP의 백엔드를 권장합니다 . 나는 여러 Windows 2003 도메인에서 이 작업을 성공적으로 수행했습니다.

ONE.COMPANY.COM예를 들어 및 라는 이름의 AD 도메인이 여러 개 있는 경우 TWO.COMPANY.COM다음과 같은 LDAP 트리가 생성됩니다.

  • dc=회사, dc=com
    • dc=1, dc=회사, dc=com
      • 도메인의 사용자 및 그룹ONE
    • dc=이, dc=회사, dc=com
      • 도메인의 사용자 및 그룹TWO

dc=company,dc=com따라서 두 서버 모두에서 항목을 반환하는 기본 DN을 기반으로 인증 요청을 수행할 수 있습니다 .

물론 이메일 주소와 같이 모든 도메인에서 사용자를 고유하게 식별할 수 있는 속성이 있는지 확인해야 합니다. 사용자가 두 명인 경우 로그인 이름을 사용하고 싶지 않습니다 jdoe! 모든 도메인에서 고유함).

확인해 보세요OpenLDAP의 백 메타 매뉴얼 페이지.

둘째, 프록시 중인 LDAP 서버를 변경하지 않고도 해당 사용자를 그룹에 추가할 수 있어야 합니다.

동일한 OpenLDAP 인스턴스에 로컬 데이터베이스를 쉽게 추가하여 모든 프록시 도메인의 사용자를 참조하는 그룹을 포함할 수 있습니다. 이 서버에는 고유한 DN이 있으므로 그룹에 추가하기만 하면 작업이 완료됩니다.

답변2

다음은 단계별로 설정하는 방법을 설명하는 멋진 기사입니다.https://www.ltb-project.org/documentation/sasl_delegation.html ("여러 LDAP 디렉토리에 대한 Pass-Trough 인증 - OpenLDAP LDAP 백엔드 사용" 참조)

답변3

귀하의 조직은 Active Directory를 사용하고 있습니까? LDAP를 사용하여 AD와 쉽게 인터페이스할 수 있으며 AD는 복제된 분산 시스템이므로 본질적으로 단일 소스입니다. 아니면 귀하의 요구 사항 및/또는 환경 중 일부가 누락되었을 수 있습니까?

관련 정보