複数のLDAPサーバーをプロキシし、プロキシ上にユーザーのグループ化を維持するにはどうすればよいですか?
一般的な解決策を見つけたいと思っている2つの問題があります。
まず、認証のために、複数のLDAPサーバー(複数のドメインにまたがるWindows AD)を単一のソースにフィードする方法を見つける必要があります。これは、複数のLDAPサーバーとネイティブに通信できないアプリケーションを機能させるためにも必要です。私はこれをOpen LDAPで実行できることを読みました。他の解決策はありますか?
次に、プロキシしているLDAPサーバーに変更を加えることなく、これらのユーザーをグループに追加できる必要があります。
最後に、これはすべてWindows Server 2003/2008で動作する必要があります。
私は非常に大規模な組織で働いており、複数のグループを作成して、多数のユーザーをグループに追加したり、グループ間で移動したり、グループから削除したりすることは簡単な作業ではありません。これは通常、大量の事務処理と多くの時間を必要とします。時間は私たちが通常持っていないものの1つです。書類をかわすことはプラスです。
私はこれらすべてについて非常に限られた経験しかないので、私が求めていることが意味を成すかどうかさえわかりません。 Atlassian Crowdは私たちが必要としているものに近づきますが、それ自体のLDAPフロントエンドを持つことには不十分です。誰かが何かアドバイスや製品名を提供できますか?
あなたが提供できるあらゆる助けをありがとう。
OpenLDAPのmetaバックエンドをお勧めします。これは、複数の異なるサーバーからの複数のネーミングコンテキストを1つのツリーに統合するプロキシとして機能します。私はいくつかのWindows 2003ドメインでこれを正しく行うためにそれをうまく使用しました。
たとえば、ONE.COMPANY.COMおよびTWO.COMPANY.COMという名前の複数のADドメインがある場合、次のLDAPツリーになります。
- dc = company、dc = com
- dc = one、dc = company、dc = com
- ドメイン
ONEのユーザーとグループ- dc = two、dc = company、dc = com
- ドメイン
TWOのユーザーとグループ
したがって、認証リクエストはベースDN dc=company,dc=comに基づいて行うことができ、どちらのサーバーからもエントリが返されます。
もちろん、メールアドレスなど、すべてのドメインでユーザーを一意に識別できる属性があることを確認する必要があります(jdoeユーザーが2人いる場合は、ログイン名を使用したくない!ログインがすべてのドメインで一意であることを確認できます)。
OpenLDAPのback-meta manページ をチェックしてください。
次に、プロキシしているLDAPサーバーに変更を加えることなく、これらのユーザーをグループに追加できる必要があります。
OpenLDAPの同じインスタンスにローカルデータベースを簡単に追加して、プロキシされたすべてのドメインのユーザーを参照するグループを含めることができます。それらはこのサーバー上で一意のDNを持ち、グループに追加するだけで完了です。
これはステップバイステップで設定する方法を概説する素晴らしい記事です: http://ltb-project.org/wiki/documentation/general/sasl_delegation (「パススルー認証」 LDAPディレクトリ-OpenLDAP ldapバックエンドを使用する場合)
組織はActive Directoryを使用していますか? LDAPを使用してADと簡単にインターフェイスできます。ADは複製された分散システムであるため、本質的に単一のソースです。それとも、要件や環境の一部が不足しているのでしょうか?