我正在使用 linux 和 windows 服务器的混合体,并希望使用 AD 绑定到集中式 LDAP 身份验证过程。
我最近安装了一个 Windows 2012 R2 服务器作为域控制器。我有 LDAP 信息来访问我们公司的 LDAP 服务器,但还没有找到如何设置密码推荐过程。人们建议改用 OpenDJ 或 OpenLDAP,但我想我至少会尝试使用本机应用程序来获得此设置。经过数小时的阅读和查看后,我认为这行不通。
有关如何进行此操作的建议?
摘要:我在subdom.company.com有一些设备。如果我只能让我的域连接/指向它,则ldap.company.com上有一个 LDAP 服务器可用于身份验证。我应该继续使用 Windows 2012 R2 还是切换到 Samba?其他途径?
更新:直到最近我们的设备几乎完全是 CentOS/Debian。我们使用 NIS 来维护帐户,一切都很好。现在我们正在添加更多的 Windows 客户端,并有机会让大公司的服务器处理我们的所有身份验证。IE 不再需要在每个文件服务器(通过 samba)上为 Windows 客户端设置这些。
我有点不清楚您所说的“密码推荐”是什么意思。我认为您是说希望 Active Directory 针对您的“ldap.company.com”服务器托管的 LDAP 目录对用户进行身份验证。
假设是这种情况:Active Directory 中没有功能可以满足您的需求。Active Directory 是(除其他外)由 LDAP 可访问目录支持的 Kerberos 密钥分发中心 (KDC)。它在功能上类似于您现有的 LDAP 目录。它没有将身份验证“代理”到另一个 LDAP 目录的功能。
您可以创建与其他 Kerberos 领域的信任关系。如果您有另一个以现有 LDAP 目录为后端的 Kerberos 实现,您可以在新的 Active Directory 和领域之间创建领域信任。这将允许来自 Kerberos 领域的安全主体被授予对 Active Directory 林/域中资源的访问权限。
就像我说的,有点不清楚你想要完成什么。如果您不想要/不需要 Active Directory 复制的所有功能,最好只使用 Samba 对 LDAP 服务器进行后端身份验证。(如果您要提供更多有关您尝试做的事情的叙述,我可以扩展此答案。)
编辑:
根据您的编辑,我可以告诉您 Active Directory 不会满足您的需求。您不能将身份验证从 AD 卸载到另一个 LDAP 目录。它只是不会那样做。
如果我处于您的情况,我可能会创建一个 Kerberos 域后端到您的 LDAP 目录,将 Windows 客户端加入新的 Active Directory 域,在 Active Directory 域和 Kerberos 域之间创建域信任,然后最后配置Windows 客户端允许使用 Kerberos 凭据进行 SSO。