我们现在正在 Amazon EC2 上设置 Jabber 服务器,我们希望我们的内部用户通过 LDAP 进行身份验证,因此我们不必创建/管理一组单独的用户帐户而不是主帐户办公室里的目录。
我的问题是:有没有办法将我们内部 LDAP 目录(用户帐户 OU)的一部分单向复制到外部 LDAP 服务器并针对该服务器对 Jabber 进行身份验证?
我们正在尝试解决让我们的外部托管机器在云中直接访问我们的内部网络......如果我们只能在一个方向上复制用户帐户的一个子集,那么如果受到损害,我们不一定有对我们内部网络的严重安全漏洞。
您可以将 ldaptree 的一部分导出
ldapsearch到 ldif 文件,并使用 或 将其添加到您的其他 ldap 服务器ldapadd中ldapmodify。还有一些产品支持单向自动或半自动复制,例如fedora 目录服务器。
jabber 可以针对 ldap 进行身份验证,但我不能告诉你如何。也许其他人可以回答这部分。
一旦你创建了一个 LDIF 文件,ldapdiff ( https://launchpad.net/ldapdiff ) 是一个很棒的工具,用于在 LDAP 服务器之间同步更改。
如果我理解正确,您想将一些帐户从您的内部 LDAP 目录“推送”到云中的另一个目录吗?
如果您的目录是 OpenLDAP,您可以使用基于推送的配置设置部分复制。请参阅他们的管理指南。
如果没有,您可以使用同步工具,该工具将连接到您的内部目录,查询您要推送的帐户,然后连接到云中的目录以在那里更新它们。Ldap 同步连接器 (LSC)就是这样一种工具,可以做到这一点,作为开源提供。