• Digitální příslušenství
  • Server
  • Digitální život
  • Zásady ochrany osobních údajů
  • Kontaktujte nás
  1. Domov
  2. Server
  3. Jak svázat ldap s cizím účtem důvěryhodné domény pro autentizaci aplikace

Jak svázat ldap s cizím účtem důvěryhodné domény pro autentizaci aplikace

Rsdaa 16/12/2021 1703

Ahoj komunito

Ve své aplikaci (jako redmine, pfsense nebo ESXi) používám ověřování LDAP (A.D).

Nedávno jsem úspěšně navázal důvěryhodný vztah mezi mou doménou PARIS.france a zahraniční doménou BERLIN.germany. Vztah důvěryhodnosti domény vypadá v pořádku, DNS také, mohu procházet každou doménu.

Vytvořil jsem místní skupinu "application-access" v mém AD PARIS.france, která obsahuje uživatele PARIS\Pierre a BERLIN\Otto

Když se ale pokusím přihlásit z webové aplikace, zdá se, že funguje pouze Pierre. Otto se nemůže ověřit.

Když se podívám dále, vidím ve své skupině, že Pierre má jméno SamAccountName, ale Otto je zvláštní druh objektu (tento objekt je pouze zástupný symbol pro uživatele nebo skupinu z důvěryhodné externí domény) a nemá takový atribut .. myslím, že proč to nefunguje?

Nikdy předtím jsem nepracoval s důvěryhodnou doménou, je to laboratoř, kterou dělám, abych pochopil, jak to funguje. Snažím se, aby se uživatelé BERLIN mohli autentizovat v mé aplikaci pomocí klasické vazby ldap. Samozřejmě bych mohl změnit vazbu pro vazbu na aktivním adresáři BERLIN .. ale takhle to nemá fungovat správně? Už nějaký týden jsem zasekl ve snaze udělat úplně základní věc.

Děkujeme za přečtení a za rady.

S pozdravem

Upraveno 23. dubna 2021 v 19:37 UTC

Oblíbená témata v systému Windows Server

Software help desk pro IT. Volný, uvolnit.

Sledujte IT potřeby uživatelů, jednoduše a pouze s funkcemi, které potřebujete.

2 odpovědi

LDAP se liší od AD. důvěryhodnost AD lze použít nativními scénáři ověřování AD, ale ne LDAP. Rozhraní LDAP služby AD stále používá standard LDAP, takže když uvádí uživatele nové skupiny, vrátí jejich příklad plného rozlišujícího jména (dn):

člen: CN=Uživatel1,OU=Uživatelé,DC=PAŘÍŽ,DC=franciemember: CN=Uživatel2,OU=Uživatelé,DC=BERLÍN,DC=německo

Francie může stále ověřovat německé uživatele, ale musíte použít správnou syntaxi ldap nebo základní dn. Obvykle můžete definovat více než jeden základní dn - takže pokud přidáte oba, bude se shodovat. nebo použijte fuzzy logiku k nalezení pouze CN ze skupiny.

hm, dobře, takže pokud tomu dobře rozumím,

vytvoření vztahu důvěry AD mezi PARIS.france a BERLIN.germany, vytvořte jakýsi proxyldap, který mi umožní dotazovat se na schéma DC=BERLIN,DC=germany z mého AD serveru PARIS.france. Mám pravdu ?

Ve skutečnosti se pokouším dotazovat na schéma DC=BERLÍN,DC=německo, ale zdá se, že nefunguje. Zkoušel jsem následující ldapsearch se standardní vazbou uživatelského účtu a také účtem správce domény ve schématu PARIS.france.

ldapsearch -H ldap://172.16.1.1 -b "dc=BERLÍN,dc=německo" -x -W -D "bind@paris.france"Zadejte heslo LDAP:# rozšířené LDIF## LDAPv3# základní s rozsahem subtree# filter: (objectclass=*)# requesting: ALL## search resultsearch: 2result: 10 Referral text: 0000202B: RefErr: DSID-031007F9, data 0, 1 access points ref 1: 'berlin.germany'ref: ldap:/ /berlin.germany/BERLIN,dc=germany# numResponses: 1

Upraveno 29. dubna 2021 v 21:54 UTC


PREV: Nginx Proxy Server | Virtuální stolní slévárna

NEXT: Docker Nainstalujte Nginx

Populární články

Žhavé články

Navigační seznamy

Zpět na začátek