Posso obter o AD para autenticar por meio de outro servidor LDAP?

Eu honestamente depende de quanto tempo, experiência e dinheiro você precisa gastar. O FIM (Forefront Identity Manager) é uma ótima opção se você estiver apenas procurando sincronizar atributos básicos, incluindo username / pass. No entanto, não é isso que minha universidade faz, sempre precisávamos de um pouco mais de flexibilidade do que as soluções de IDM realmente ofereceram, e é por isso que desenvolvemos nosso próprio middleware interno escrito em perl usando LDAPS. Isso nos permite roteirizar atualizações do que queremos, quando queremos e onde queremos com a flexibilidade que precisamos. Também forçamos todos os usuários a usar um portal da web para alterações de senha, para que nossos diretórios não fiquem fora de sincronia. No momento, estamos sincronizando um sistema SUN ONE LDAP com nosso MS Active Directory desde 2002.

TL; DR Se você tem pouco tempo e experiência, mas não dinheiro, use o FIM para fazer o que quiser. Se não, você é mais que bem-vindo para escrever seu próprio middleware na linguagem de programação de escolha para fazer a mesma coisa.

A única maneira de fazer isso é criar um sistema Kerberos suportado por LDAP e estabelecer uma confiança Kerberos entre o domínio Kerberos não Windows e o domínio do Windows (que também é um território Kerberos). Os principais passos:

• Configurando o novo território Kerberos
  • Obtenha o LDAP como uma fonte de autenticação para o domínio
  • Como este é o AD, o reino precisará dos registros SRV do DNS do Kerberos criados.
• Configurando a confiança
  • Como o AD confia no reino do Kerberos, essa será uma confiança unidirecional
  • Os usuários com essas credenciais terão para usar um método de acesso de suporte do Kerberos para autenticação. O LDAP do AD suporta isso, assim como o SMB (embora eu não tenha tentado com um reino não-MS Curb).

O Kerberos é a cola que permite que o AD use um servidor LDAP externo para autenticação.

Eu nunca fiz o que você está descrevendo, pelo menos não apenas com o LDAP e não em produção.

Domínios do AD são mais do que apenas autenticação e requerem muito mais do que apenas um diretório LDAP para funcionar, então eu acho que você precisaria implantar o Samba para fazer o que você está descrevendo acontecer (embora você possa fazer o Samba use o LDAP como seu backing store). Eu não tenho certeza do que é o estado dos controladores de domínio do Samba atualmente, mas eu começaria a procurar aqui (docs.samba.org).

Eu tenho ido para o outro lado (fazendo o material do LDAP autenticar contra o AD & armazenar as "outras coisas" no armazenamento LDAP do AD), e isso é relativamente fácil - eu recomendaria isso se em tudo prático, mas sem saber mais sobre a sua situação eu não posso dizer se é o movimento certo ou não ...

O Microsoft FIM, anteriormente ILM, permitirá a sincronização de credenciais entre os LDAPs. Você ainda precisará executar o AD full-blown, mas você pode sincronizá-las com o LDAP já existente. Deve ser transparente para o usuário.

Esta é a minha compreensão limitada, eu nunca a tive trabalhando nem conheci ninguém que tenha.

De acordo com a escassa documentação do MS, você pode obter o AD em 2003+ para usar um nome de usuário e senha de outro servidor LDAP. Mas ainda requer que você execute uma instalação completa do AD "local" com contas que são basicamente mapeadas para as contas LDAP. Ele usa o objeto inetOrgPerson . As informações limitadas são aqui e ainda mais instruções "úteis" para criar o conta são aqui .

Como outro anunciante mencionou, o AD é muito mais do que uma simples autenticação e realmente não funciona bem com a concorrência como * nix LDAP.