Soru Birden çok LDAP sunucusunu nasıl proxy yapabilirim ve hala proxy'de kullanıcı gruplandırması yapabilir miyim?


Ortak bir çözüm bulmayı umduğum 2 problemim var.

İlk olarak, çoklu kimlik doğrulama için tek bir kaynağa birden çok LDAP sunucusuna (Windows AD'nin birden fazla etki alanında) sahip olmanın bir yolunu bulmam gerekiyor. Bu, aynı zamanda, birden fazla LDAP sunucusunun çalışması için yerel olarak konuşamayan uygulamaları almak için de gereklidir. Okuduğumu açık LDAP ile yapılabilir. Başka çözümler var mı?

İkincisi, bu kullanıcıları vekil olduğum LDAP sunucularında herhangi bir değişiklik yapmadan gruplara ekleyebilmem gerekiyor.

Son olarak, tüm bunların Windows Server 2003/2008 üzerinde çalışması gerekiyor.

Çok büyük bir organizasyon için çalışıyorum ve birden fazla grup oluşturmak ve bunlara eklenmiş, taşınan ve onlardan çıkarılmış çok sayıda kullanıcıya sahip olmak küçük bir görev değildir. Bu normalde tonlarca evrak ve çok zaman gerektirir. Zaman normalde sahip olmadığımız tek şeydir; evrak kaçmak sadece bir artı.

Tüm bunlarda çok sınırlı tecrübem var, bu yüzden sorduğum şeyin mantıklı olacağından bile emin değilim. Atlassian Crowd, ihtiyacımız olana yaklaşıyor, ancak kendi LDAP ön ucuna sahip olmaktan çok uzak. Herhangi bir tavsiye veya ürün adı olan var mı?

Sağladığınız herhangi bir yardım için teşekkürler.


7
2018-01-27 16:38


Menşei




Cevaplar:


OpenLDAP'ı tavsiye ederim meta Birden fazla sunucudan birkaç adlandırma içeriğinin tek bir ağaçta birleştirilmesi için bir proxy görevi gören backend. Bunu, birkaç Windows 2003 etki alanında bunu yapmak için başarıyla kullandım.

Örneğin, adında birkaç AD alan adınız varsa ONE.COMPANY.COM ve TWO.COMPANY.COMAşağıdaki LDAP ağacına sahip olursunuz:

  • dc = şirket, dc = com      
    • dc = biri, dc = şirket, dc = com      
      • Alandaki kullanıcılar ve gruplar ONE
    • dc = iki, dc = şirket, dc = com      
      • Alandaki kullanıcılar ve gruplar TWO

Böylece, temel DN'deki kimlik doğrulama isteklerini temel alabilirsiniz. dc=company,dc=comgirişleri her iki sunucudan döndürür.

Elbette, e-posta adresi gibi tüm etki alanlarındaki kullanıcıları benzersiz şekilde tanımlayabileceğiniz bir özelliğe sahip olduğunuzdan emin olmanız gerekir (iki seçeneğiniz varsa, giriş adı kullanmak istemezsiniz). jdoe kullanıcılar! Girişlerin, tüm alan adlarında benzersiz olduğundan emin değilseniz).

Çıkış yapmak OpenLDAP'ın geri-meta man sayfası.

İkincisi, bunları ekleyebilmem gerekiyor   kullanıcılar olmadan gruplara   LDAP sunucularında herhangi bir değişiklik yapmak   Ben proxy yapıyorum.

Tüm proxy alan adlarından kullanıcıları referans alan gruplar içermek üzere, yerel bir veritabanını aynı OpenLDAP örneğine kolayca ekleyebilirsiniz. Bu sunucuda benzersiz DN'leri olacak, bunları yalnızca gruplara ekleyin ve işiniz bitti.


8
2018-01-27 17:52



Biliyorum burada geç kaldım, ama bu proxy ile alt alanlar arasında güven gerektiriyor mu? Alt AD'leri kontrol etmediğimiz birden fazla müşteri AD'sine entegre olmaya çalışıyoruz. - Josh Smeaton


Bu, adım adım nasıl ayarlanacağını gösteren harika bir yazıdır: http://ltb-project.org/wiki/documentation/general/sasl_delegation (bkz. "Birçok LDAP dizinindeki Pass-Trough kimlik doğrulaması - OpenLDAP ldap backend ile")


2
2018-05-04 06:46





Kuruluşunuz Active Directory kullanıyor mu? AD ile LDAP kullanarak kolayca bağlantı kurabilir ve AD kopyalanmış, dağıtılmış bir sistem olduğundan, doğaya göre tek bir kaynaktır. Ya da gereksinimleriniz ve / veya çevrenizden bir şey eksik miyim?


0
2018-01-27 16:45



Maalesef, sunucuların birden fazla alan adında olduğunu eklemeyi unuttum. Aralarında zaten güven kurulumu var, ama bu konuda uzman değilim. Ben sadece bununla takılı kalan talihsiz özdeyim. Sorumu alanları yansıtacak şekilde güncelleyeceğim.