• Дигитални аксесоари
  • сървър
  • Дигитален живот
  • Политика за поверителност
  • Свържете се с нас
  1. Home
  2. сървър
  3. Как да обвържете ldap с акаунт на чужд доверен домейн за удостоверяване на приложението

Как да обвържете ldap с акаунт на чужд доверен домейн за удостоверяване на приложението

Rsdaa 16/12/2021 1086

Здравейте общност

Използвам LDAP удостоверяване (A.D) в моето приложение (като redmine, pfsense или ESXi).

Наскоро успешно създадох двустранна доверителна връзка между моя домейн PARIS.france и чужд домейн BERLIN.germany. Доверителната връзка на домейна изглежда добре, DNS също, мога да преглеждам всеки домейн.

Създадох локална група „application-access“ в моя A.D PARIS.france, съдържаща потребител PARIS\Pierre и BERLIN\Otto

Но когато се опитвам да вляза от уеб приложението, само Pierre изглежда работи. Ото не може да се удостовери.

Когато погледна по-нататък, виждам в моята група, че Pierre има SamAccountName, но Otto е специален вид обект (този обект е просто контейнер за потребител или група от доверен външен домейн) и няма такъв атрибут.. Предполагам, че защо не работи?

Никога преди не съм работил с доверен домейн, това е лаборатория, която правя, за да разбера как работи. Опитвам се да накарам потребителите в БЕРЛИН да могат да се удостоверяват в моето приложение чрез класическото ldap свързване. Разбира се, бих могъл да променя обвързването за bind в активната директория BERLIN.. но това не е начинът, по който трябва да работи, нали? Заседнал съм от няколко седмици, докато се опитвам да направя нещо много основно.

Благодарим ви за прочита и насоките.

Поздрави

Редактирано на 23 април 2021 г. в 19:37 UTC

Популярни теми в Windows Server

Софтуерът за помощно бюро за ИТ. Безплатно.

Проследявайте ИТ нуждите на потребителите лесно и само с функциите, от които се нуждаете.

2 отговора

LDAP е различен от AD. доверието на AD може да се използва от естествени сценарии за удостоверяване на AD, но не и от LDAP. LDAP интерфейсът на AD все още използва LDAP стандарта, така че когато изброява потребителите на новата група, той ще върне тяхното пълно отличително име (dn) пример:

член: CN=Потребител1,OU=Потребители,DC=ПАРИЖ,DC=франциячлен: CN=Потребител2,OU=Потребители,DC=БЕРЛИН,DC=германия

Франция все още може да удостоверява потребители в Германия, но трябва да използвате правилния ldap синтаксис или основен dn. Обикновено можете да дефинирате повече от един базов dn - така че ако добавите и двата, тогава ще съвпадне. или използвайте размита логика, за да съпоставите само CN от групата.

хм, добре, ако разбирам добре,

създаването на AD доверителна връзка между PARIS.france и BERLIN.germany, направете нещо като proxyldap, което ми позволява да правя запитвания към схемата DC=BERLIN,DC=germany от моя PARIS.france AD ​​сървър. Прав ли съм ?

Всъщност се опитвам да направя запитване към схемата DC=BERLIN,DC=germany, но изглежда не работи. Опитах следното ldapsearch както със стандартно обвързване на потребителски акаунт, така и с акаунт на администратор на домейн в схема PARIS.france.

ldapsearch -H ldap://172.16.1.1 -b "dc=BERLIN,dc=germany" -x -W -D "bind@paris.france"Въведете LDAP парола:# разширен LDIF## LDAPv3# basewith обхват subtree# филтър: (objectclass=*)# искане: ALL## резултати от търсенетърсене: 2резултат: 10 Referraltext: 0000202B: RefErr: DSID-031007F9, данни 0, 1 точки за достъп ref 1: 'berlin.germany'ref: ldap:/ /berlin.germany/BERLIN,dc=germany# numResponses: 1

Редактирано на 29 април 2021 г. в 21:54 UTC


PREV: Nginx прокси сървър | Виртуален плот на леярна

NEXT: Docker Инсталирайте Nginx

Popular Articles

Hot Articles

Navigation Lists

Back to Top