Autenticação LDAP para vários domínios do AD

3

Tenho 3 domínios de confiança completos (2 filhos e um raiz). Eu preciso usar o LDAP para permitir a authntication para usuários do domínio. O truque é que eu preciso do aplicativo para usar um servidor AD para o proxy do domínio filho BUT a consulta LDAP e autenticação para o domínio raiz. Eu vejo que é possível com AD LDS e alguns trusts e sincronização, mas parece muito peludo e muito complicado.

O mais curto é:

  1. 3 domínios (pai, filhoA, filhoB)
  2. Meu aplicativo de terceiros precisará usar servidores de domínio ChildA para autenticar:  uma. um usuário no domínio pai ou  b. um usuário no domínio ChildB
  3. Eu já tenho confiança total entre todos os domínios e a autenticação regular do NTLM funciona bem (a menos que você esteja tentando autenticar com o LDAP)
por TrevJen 07.01.2010 / 23:45

1 resposta

2

Bem, este link pode explicar isso: link

Basicamente, o computador de conexão (estação de trabalho) precisa ser capaz de ver o servidor AD DC em todos os domínios que planeja se conectar; mas o computador conectado (servidor) não precisa ser capaz de ver o outro servidor AD DC para os computadores que se conectam a ele.

Portanto, na prática, talvez seja necessário pensar em onde os usuários (ou aplicativos) estão se conectando e tornar esses domínios "privilegiados" para ver esses servidores DC.

No entanto, se você usar APENAS autenticação do tipo NTLM, somente os DCs precisarão ver uns aos outros e a autenticação funcionará bem. Embora, no meu conhecimento, as consultas LDAP sejam suficientes se se conectarem a um servidor de catálogo global.

    
por 08.01.2010 / 05:21