老实说,我取决于你必须花费多少时间、专业知识和金钱。如果您只想同步基本属性(包括用户名/密码),FIM(Forefront Identity Manager)是一个不错的选择。然而,这不是我的大学所做的,我们总是需要比 IDM 解决方案真正提供的更多的灵活性,这就是为什么我们开发了我们自己的内部中间件,使用 LDAPS 用 perl 编写。这使我们能够以尽可能多的灵活性对我们想要的内容、时间和地点进行脚本更新。我们还强制所有用户使用 Web 门户更改密码,这样我们的目录就不会失去同步。我们目前正在将 SUN ONE LDAP 系统同步到我们的 MS Active Directory,并且自 2002 年以来一直如此。
老实说,我取决于你必须花费多少时间、专业知识和金钱。如果您只想同步基本属性(包括用户名/密码),FIM(Forefront Identity Manager)是一个不错的选择。然而,这不是我的大学所做的,我们总是需要比 IDM 解决方案真正提供的更多的灵活性,这就是为什么我们开发了我们自己的内部中间件,使用 LDAPS 用 perl 编写。这使我们能够以尽可能多的灵活性对我们想要的内容、时间和地点进行脚本更新。我们还强制所有用户使用 Web 门户更改密码,这样我们的目录就不会失去同步。我们目前正在将 SUN ONE LDAP 系统同步到我们的 MS Active Directory,并且自 2002 年以来一直如此。
TL;DR 如果您缺乏时间和专业知识,但没有钱,请使用 FIM,它会做您想做的事。如果不是,我们非常欢迎您使用选择的编码语言编写自己的中间件来做同样的事情。
我知道的唯一方法是创建一个支持 LDAP 的 Kerberos 系统,并在非 Windows Kerberos 领域和 Windows 域(也是 Kerberos 领域)之间建立 Kerberos 信任。关键步骤:
Kerberos 是允许 AD 使用外部 LDAP 服务器进行身份验证的粘合剂。
我从来没有做过你所描述的事情,至少不是只使用 LDAP 而不是在生产中。
AD 域不仅仅是身份验证,并且需要的不仅仅是 LDAP 目录才能工作,所以我认为您需要部署 Samba 或其他东西才能使您所描述的事情发生(尽管您可以让 Samba 使用 LDAP 作为它的后备商店)。我不确定这些天 Samba 域控制器的状态是什么,但我会开始看这里(samba.org 文档)。
我采取了另一种方式(使 LDAP 内容针对 AD 进行身份验证并将“其他内容”存储在 AD 的 LDAP 存储中),这相对容易——如果可行的话,我会推荐这个,但不了解您的情况我不能说这是否是正确的举动......
Microsoft FIM(以前称为 ILM)将允许 LDAP 之间的凭据同步。您仍然需要运行完整的 AD,但您可以让它与现有的 LDAP 同步凭据。它应该对用户透明。
这是我有限的理解,我从来没有让它工作过,也不认识任何人。
根据稀疏的 MS 文档,您可以在 2003+ 年获得 AD 以使用来自另一个 LDAP 服务器的用户名和密码。但它仍然需要您使用基本上映射到 LDAP 帐户的帐户运行完整的“本地”AD 设置。它使用inetOrgPerson对象。有限的信息在这里,创建帐户的更多“有用”说明在这里。
正如另一位发帖者所提到的,AD 不仅仅是简单的身份验证,而且与 *nix LDAP 之类的竞争真的不相称。