我有兩個 Microsoft 活動目錄,我們稱它們為外部和內部,
我想做的是:
- 將使用者新增至內部 AD,無需密碼(只需為他們保存一些其他屬性)。
- 當使用者嘗試登入時,將根據外部 AD 檢查密碼。
- 這僅適用於網域用戶,不適用於管理員。
- 兩個 Active Directory 均位於 Windows 伺服器上。
- 我不知道外部伺服器的具體版本是什麼。但我知道這是一個Windows伺服器。
- 我能夠在 Linux 上使用 openldap 對使用者進行身份驗證。 「透過提供使用者名稱和密碼」。這意味著可以對使用者進行身份驗證。
請注意,我並不是想竊取密碼或任何東西。我只希望我的內部 AD 將使用者名稱和密碼發送到外部 AD,如果匹配或不匹配,外部將做出回應。
我的公司有多種服務使用員工的外部密碼(例如 Exchange 郵件)。我想讓他們在任何地方都使用相同的使用者名稱和密碼。
這是我擁有的權限:
- 我對外部 AD 沒有任何「管理員」權限。只是普通用戶權限。
- 我對內部廣告擁有完全許可。
- 我可以完全控制嘗試登入內部 AD 的電腦和使用者。
有些人建議我使用跨領域 Kerberos 信任,並指導我寫這個問題的正確位置。我查找了跨領域 Kerberos 信任,但我發現我需要為在兩個 AD 上輸入的信任提供密碼。由於我沒有外部 AD 的管理員權限,因此我無法執行此操作。
非常感謝您的幫忙。先致謝
答案1
Active Directory 輕量級目錄服務(AD LDS)聽起來很適合您正在尋找的東西。您所謂的「內部 AD」可以是一個 AD LDS 實例,它對您所謂的「外部 AD」進行身份驗證。
我不確定我是否完全理解您的用例,但我認為AD LDS 綁定重定向可能會完全滿足您的需求。