У меня есть две проблемы, для которых я надеюсь найти общее решение.
Во-первых, мне нужно найти способ, чтобы несколько серверов LDAP (Windows AD в нескольких доменах) подключались к одному источнику для аутентификации. Это также необходимо для работы приложений, которые не могут изначально взаимодействовать с более чем одним сервером LDAP. Я читал, что это можно сделать с помощью Open LDAP. Есть ли другие решения?
Во-вторых, мне нужно иметь возможность добавлять этих пользователей в группы, не внося никаких изменений в прокси-серверы LDAP.
Наконец, все это должно работать на Windows Server 2003/2008.
Я работаю в очень большой организации, и создание нескольких групп и добавление, перемещение и удаление большого количества пользователей из них — непростая задача. Обычно это требует тонны бумажной работы и много времени. Время — это единственное, чего у нас обычно нет; уклонение от бумажной работы — это просто плюс.
У меня очень ограниченный опыт во всем этом, поэтому я даже не уверен, что то, что я спрашиваю, будет иметь смысл. Atlassian Crowd близок к тому, что нам нужно, но не имеет собственного LDAP-фронтенда. Может ли кто-нибудь дать совет или названия продуктов?
Спасибо за любую помощь, которую вы можете оказать.
решение1
Я рекомендую бэкэнд OpenLDAP meta, который действует как прокси для интеграции нескольких контекстов именования с нескольких разных серверов в одно дерево. Я успешно использовал его для этого на нескольких доменах Windows 2003.
Например, если у вас есть несколько доменов AD с именами ONE.COMPANY.COMи TWO.COMPANY.COM, вы получите следующее дерево LDAP:
- dc=компания,dc=com
- dc=один,dc=компания,dc=com
- Пользователи и группы из домена
ONE- dc=два,dc=компания,dc=com
- Пользователи и группы из домена
TWO
Таким образом, вы можете основывать запросы аутентификации на базовом DN dc=company,dc=com, что будет возвращать записи с любого сервера.
Конечно, вы должны убедиться, что у вас есть атрибут, который может однозначно идентифицировать пользователей во всех доменах, например, адрес электронной почты (вы не хотите использовать имя пользователя, если у вас два jdoeпользователя! Если только вы не уверены, что имена пользователей уникальны во всех доменах).
ПроверитьСтраница руководства OpenLDAP back-meta.
Во-вторых, мне нужно иметь возможность добавлять этих пользователей в группы, не внося никаких изменений в прокси-серверы LDAP.
Вы можете легко добавить локальную базу данных в тот же экземпляр OpenLDAP, чтобы содержать группы, которые ссылаются на пользователей из всех проксируемых доменов. У них будут уникальные DN на этом сервере, просто добавьте их в группы, и все готово.
решение2
Это замечательная статья, в которой пошагово описывается, как все настроить:https://www.ltb-project.org/documentation/sasl_delegation.html (см. «Сквозная аутентификация в нескольких каталогах LDAP — с бэкэндом OpenLDAP ldap»)
решение3
Использует ли ваша организация Active Directory? Вы можете легко взаимодействовать с AD с помощью LDAP, и поскольку AD является реплицированной, распределенной системой, она по своей природе является единым источником. Или, может быть, я что-то упускаю из ваших требований и/или вашей среды?