Come faccio a proiettare più server LDAP e ho ancora un raggruppamento di utenti sul proxy?

Ho due problemi che spero di trovare una soluzione comune.

In primo luogo, devo trovare un modo per avere più server LDAP (Windows AD in più domini) in una sola origine per l'authentication. Ciò è anche necessario per get applicazioni che non possono parlare nativamente a più di un server LDAP per funzionare. Ho letto che questo può essere fatto con Open LDAP. Ci sono altre soluzioni?

  • Limitare l'accesso alla port tunnel ssh per gruppo
  • Conserva il gruppo di annunci sincronizzato in OpenLDAP con l'incremento dell'account POSIX
  • distribuzione di distribuzione migliore per DHCP, servizi di directory ecc
  • Internet Explorer non rileva automaticamente http: //wpad/wpad.dat auto-config
  • Ricerca di alternative di Exchange per servizi di posta elettronica, calendario e directory
  • LDAP: l'attributo 'givenName' non è consentito
  • In secondo luogo, devo essere in grado di aggiungere quegli utenti a gruppi senza essere in grado di apportre modifiche ai server LDAP che sto proxying.

    Infine, tutto questo deve funzionare in Windows Server 2003/2008.

    Lavoro per un'organizzazione molto grande e per creare più gruppi e avere un numero elevato di utenti aggiunti, spostati e rimossi da loro non è un piccolo task. Questo richiede normalmente tonnellate di documenti e molto tempo. Il tempo è l'unica cosa che normalmente non abbiamo; schivare i documenti è solo un vantaggio.

    Ho un'esperienza molto limitata in tutto questo, quindi non sono neanche sicuro di quello che chiedo avrà senso. La folla Atlassian si avvicina a quanto abbiamo bisogno, ma non rientra nella sua parte frontale LDAP. Può chiunque fornire qualsiasi consiglio o nomi di prodotto?

    Grazie per tutto l'aiuto che potete fornire.

    3 Solutions collect form web for “Come faccio a proiettare più server LDAP e ho ancora un raggruppamento di utenti sul proxy?”

    Raccommand il backend meta di OpenLDAP, che funge da proxy per integrare diversi contesti di denominazione da diversi server diversi in un unico tree. Ho usato con successo per fare questo solo su diversi domini di Windows 2003.

    Ad esempio, se si dispone di diversi domini AD denominati ONE.COMPANY.COM e TWO.COMPANY.COM , si dovrebbe concludere con il seguente tree LDAP:

    • dc = company, dc = com
      • dc = uno, dc = azienda, dc = com
        • Utenti e gruppi dal dominio ONE
      • dc = due, dc = azienda, dc = com
        • Utenti e gruppi dal dominio TWO

    Quindi, è ansible basare le richieste di authentication sulla base DN dc=company,dc=com , che restituirà le voci da entrambi i server.

    Naturalmente, è necessario assicurarsi di avere un attributo in grado di identificare in modo univoco gli utenti su tutti i domini, ad esempio un indirizzo e-mail (non si desidera utilizzare un nome di accesso se si dispone di due utenti jdoe ! sono unici su tutti i domini).

    Controlla la pagina di back-meta di OpenLDAP .

    In secondo luogo, devo essere in grado di aggiungere quegli utenti a gruppi senza essere in grado di apportre modifiche ai server LDAP che sto proxying.

    È ansible aggiungere facilmente un database locale alla stessa istanza di OpenLDAP, per contenere gruppi che utilizzano gli utenti di tutti i domini proxied. Avranno DN unici su questo server, basta aggiungerli ai gruppi e sei finito.

    Questo è un articolo impressionante che illustra come impostarla passo dopo passo: http://ltb-project.org/wiki/documentation/general/sasl_delegation (vedi "Autenticazione Pass-Trough in più directory LDAP" con OpenLDAP ldap backend ")

    L'organizzazione sta utilizzando Active Directory? Puoi facilmente interfacersi con AD utilizzando LDAP e poiché AD è un sistema replicato e distribuito che per natura è una sola fonte. O forse mi manca qualcosa delle tue esigenze e / o del tuo ambiente?

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.