Como posso fazer proxy de vários servidores LDAP e ainda ter agrupamento de usuários no proxy?

Question 1

Eu recomendo metao backend do OpenLDAP, que atua como um proxy para integrar vários contextos de nomenclatura de vários servidores diferentes em uma única árvore. Usei-o com sucesso para fazer exatamente isso em vários domínios do Windows 2003.

Por exemplo, se você tiver vários domínios AD nomeados ONE.COMPANY.COMe TWO.COMPANY.COM, você terá a seguinte árvore LDAP:

dc=empresa,dc=com

dc=um,dc=empresa,dc=com

Usuários e grupos do domínioONE

dc=dois,dc=empresa,dc=com

Usuários e grupos do domínioTWO

Assim, você poderia basear solicitações de autenticação no DN base dc=company,dc=com, que retornaria entradas de qualquer um dos servidores.

Obviamente, você deve certificar-se de ter um atributo que possa identificar exclusivamente usuários em todos os domínios, como um endereço de e-mail (você não deseja usar um nome de login se tiver dois jdoeusuários! A menos que tenha certeza de que os logins são exclusivo em todos os domínios).

ConfiraPágina back-meta man do OpenLDAP.

Segundo, preciso poder adicionar esses usuários a grupos sem poder fazer alterações nos servidores LDAP que estou fazendo proxy.

Você pode adicionar facilmente um banco de dados local à mesma instância do OpenLDAP, para conter grupos que façam referência a usuários de todos os domínios com proxy. Eles terão DNs exclusivos neste servidor, basta adicioná-los aos grupos e pronto.

Answer

Eu recomendo metao backend do OpenLDAP, que atua como um proxy para integrar vários contextos de nomenclatura de vários servidores diferentes em uma única árvore. Usei-o com sucesso para fazer exatamente isso em vários domínios do Windows 2003.

Por exemplo, se você tiver vários domínios AD nomeados ONE.COMPANY.COMe TWO.COMPANY.COM, você terá a seguinte árvore LDAP:

dc=empresa,dc=com

dc=um,dc=empresa,dc=com

Usuários e grupos do domínioONE

dc=dois,dc=empresa,dc=com

Usuários e grupos do domínioTWO

Assim, você poderia basear solicitações de autenticação no DN base dc=company,dc=com, que retornaria entradas de qualquer um dos servidores.

Obviamente, você deve certificar-se de ter um atributo que possa identificar exclusivamente usuários em todos os domínios, como um endereço de e-mail (você não deseja usar um nome de login se tiver dois jdoeusuários! A menos que tenha certeza de que os logins são exclusivo em todos os domínios).

ConfiraPágina back-meta man do OpenLDAP.

Segundo, preciso poder adicionar esses usuários a grupos sem poder fazer alterações nos servidores LDAP que estou fazendo proxy.

Você pode adicionar facilmente um banco de dados local à mesma instância do OpenLDAP, para conter grupos que façam referência a usuários de todos os domínios com proxy. Eles terão DNs exclusivos neste servidor, basta adicioná-los aos grupos e pronto.

Question 2

Este é um artigo incrível que descreve como configurá-lo passo a passo:https://www.ltb-project.org/documentation/sasl_delegation.html (consulte "Autenticação Pass-Trough em vários diretórios LDAP - com backend OpenLDAP ldap")

Answer

Este é um artigo incrível que descreve como configurá-lo passo a passo:https://www.ltb-project.org/documentation/sasl_delegation.html (consulte "Autenticação Pass-Trough em vários diretórios LDAP - com backend OpenLDAP ldap")

Question 3

A sua organização está usando o Active Directory? Você pode interagir facilmente com o AD usando LDAP e, como o AD é um sistema replicado e distribuído, ele é de origem única por natureza. Ou talvez esteja faltando alguma coisa dos seus requisitos e/ou do seu ambiente?

Answer

A sua organização está usando o Active Directory? Você pode interagir facilmente com o AD usando LDAP e, como o AD é um sistema replicado e distribuído, ele é de origem única por natureza. Ou talvez esteja faltando alguma coisa dos seus requisitos e/ou do seu ambiente?

Como posso fazer proxy de vários servidores LDAP e ainda ter agrupamento de usuários no proxy?

Responder1

Responder2

Responder3

informação relacionada