Wie kann ich mehrere LDAP-Server als Proxy verwenden und trotzdem Benutzergruppen auf dem Proxy gruppieren?

7

Ich habe zwei Probleme, auf die ich hoffentlich eine gemeinsame Lösung finden kann.

Zunächst muss ich einen Weg finden, um mehrere LDAP-Server (Windows ADs über mehrere Domänen hinweg) zur Authentifizierung in eine einzige Quelle einzuspeisen. Dies ist auch erforderlich, damit Anwendungen, die nicht nativ mit mehr als einem LDAP-Server kommunizieren können, funktionieren. Ich habe gelesen, dass dies mit Open LDAP möglich ist. Gibt es andere Lösungen?

Zweitens muss ich in der Lage sein, diese Benutzer zu Gruppen hinzuzufügen, ohne Änderungen an den LDAP-Servern vornehmen zu können, die ich als Proxy verwende.

Schließlich muss dies alles unter Windows Server 2003/2008 funktionieren.

Ich arbeite für eine sehr große Organisation, und es ist keine leichte Aufgabe, mehrere Gruppen zu erstellen und eine große Anzahl von Benutzern zu diesen hinzuzufügen, zwischen ihnen zu verschieben und von ihnen zu entfernen. Dies erfordert normalerweise viel Papierkram und viel Zeit. Zeit ist das Einzige, was wir normalerweise nicht haben. Das Ausweichen aus dem Papierkram ist nur ein Plus.

Ich habe nur sehr begrenzte Erfahrung in all dem, daher bin ich mir nicht einmal sicher, ob das, was ich frage, Sinn ergibt. Atlassian Crowd kommt dem nahe, was wir brauchen, verfügt jedoch nicht über ein eigenes LDAP-Frontend. Kann jemand Ratschläge oder Produktnamen geben?

Vielen Dank für jede Hilfe, die Sie leisten können.


quelle

Antworten:

8

Ich empfehle das BackLDAP- metaBackend, das als Proxy fungiert, um mehrere Namenskontexte von mehreren verschiedenen Servern in einem einzigen Baum zu integrieren. Ich habe es erfolgreich verwendet, um genau dies auf mehreren Windows 2003-Domänen zu tun.

Wenn Sie beispielsweise mehrere AD-Domänen mit dem Namen ONE.COMPANY.COMund haben TWO.COMPANY.COM, erhalten Sie den folgenden LDAP-Baum:

  • dc = Firma, dc = com
    • dc = eins, dc = firma, dc = com
      • Benutzer und Gruppen aus der Domäne ONE
    • dc = zwei, dc = Firma, dc = com
      • Benutzer und Gruppen aus der Domäne TWO

Auf diese Weise können Sie Authentifizierungsanforderungen auf den Basis-DN stützen dc=company,dc=com, der Einträge von beiden Servern zurückgibt.

Natürlich müssen Sie sicherstellen, dass Sie über ein Attribut verfügen, mit dem Benutzer in allen Domänen eindeutig identifiziert werden können, z. B. eine E-Mail-Adresse (Sie möchten keinen Anmeldenamen verwenden, wenn Sie zwei jdoeBenutzer haben! Es sei denn, Sie sind sicher, dass Anmeldungen vorhanden sind einzigartig über alle Domänen).

Schauen Sie sich die Back-Meta-Manpage von OpenLDAP an .

Zweitens muss ich in der Lage sein, diese Benutzer zu Gruppen hinzuzufügen, ohne Änderungen an den LDAP-Servern vornehmen zu können, die ich als Proxy verwende.

Sie können derselben Instanz von OpenLDAP problemlos eine lokale Datenbank hinzufügen, um Gruppen zu enthalten, die auf Benutzer aus allen Proxy-Domänen verweisen. Sie haben eindeutige DNs auf diesem Server. Fügen Sie sie einfach zu Gruppen hinzu, und fertig.

Jonathan Clarke
quelle
Ich weiß, dass ich zu spät hier bin, aber erfordert dies Vertrauen zwischen dem Proxy und den Subdomains? Wir versuchen, in mehrere Kunden-ADs zu integrieren, bei denen wir keine Kontrolle über die Sub-ADs haben.
Josh Smeaton
0

Verwendet Ihre Organisation Active Directory? Sie können mit LDAP problemlos eine Schnittstelle zu AD herstellen. Da AD ein repliziertes, verteiltes System ist, handelt es sich von Natur aus um eine einzige Quelle. Oder fehlt mir vielleicht etwas von Ihren Anforderungen und / oder Ihrer Umgebung?

Squillman
quelle
Entschuldigung, ich habe vergessen hinzuzufügen, dass sich die Server über mehrere Domänen erstrecken. Es gibt bereits Vertrauensstellungen zwischen ihnen, aber ich bin kein Experte in diesem Bereich. Ich bin nur der unglückliche Trottel, der daran hängen geblieben ist. Ich werde meine Frage aktualisieren, um die Domains widerzuspiegeln.