我在我的公司中设置了一个 Debian 服务器,用户在 Active Directory 中进行管理。
我想使用 AD 对用户进行身份验证,但我认为如果可行的话,最好有一个本地 OpenLDAP 来进行身份验证,以防 AD 服务器或网络出现故障。
我看过有关设置直通身份验证的教程
但它没有说明如果无法访问 AD 服务器会发生什么。AFAIU,请求失败。
这里有人建议使用OpenLDAP Proxy Cache Engine设置高 TTL。
我应该复制整个目录吗?我不介意新用户是否无法通过身份验证。如果可以使用上次接受的密码对本地已知的用户进行身份验证,我会很高兴。所以最简单的解决方案是我最喜欢的。
我搜索了很多术语,包括缓存/缓存、副本等。我没有找到任何“grab-my-hand-and-show-me-how-to-do-that-on-debian-jessie”步骤- 一步一步的解决方案,所以我认为相对标准的东西实际上有点棘手。
我不确定您是否通常询问如何让 Debian 服务器对 Active Directory 进行身份验证/授权......或者如何确保现有的身份验证/授权高度可用。我将在这个答案中假设后者。
简短的回答是,将 OpenLDAP 设置为 Active Directory 的缓存层是愚蠢的。AD 是一个多主复制数据库。如果您需要高可用性,只需提出另一个。如果您的 DC 位于您担心失去连接的不同网段中,请在您的本地网段中启动一个(或两个)DC,并在 AD 中设置必要的站点拓扑。
本地 OpenLDAP 服务器可能不是处理所述情况的最佳方式。我想你应该好好看看
sssd。它应该有你需要的一切。