É possível autenticar usuários do MS AD em outro MS AD sem uma confiança?

2

Eu tenho dois diretórios ativos da Microsoft, vamos chamá-los de externos e internos,

O que eu quero fazer é:

  • Adicione usuários ao AD interno sem senha (basta salvar alguns outros atributos para eles).
  • Quando um usuário tenta efetuar login, a senha será verificada no AD externo.
  • Isso é apenas para usuários do domínio, não para os administradores.
  • Os dois diretórios ativos estão nos servidores Windows.
  • Eu não sei qual é a versão específica do servidor externo. Mas eu sei que é um servidor windows.
  • Eu sou capaz de autenticar usuários usando o openldap no linux. "Fornecendo um nome de usuário e senha". O que significa que é possível autenticar os usuários.

Por favor, note que eu não estou tentando roubar as senhas ou qualquer coisa. Eu só quero o meu AD interno para enviar o nome de usuário e senha para o AD externo e o externo irá responder se eles correspondem ou não.

Existem vários serviços na minha empresa que usam a senha externa para os funcionários (como o email do Exchange). Eu quero mantê-los usando o mesmo nome de usuário e senha em todos os lugares.

Aqui estão as permissões que tenho:

  • Não tenho permissões de "Administrador" no AD externo. Apenas uma permissão de usuário regular.
  • Eu tenho permissão total no anúncio interno.
  • Tenho controle total sobre os computadores e usuários que tentarão fazer login no AD interno.

algumas pessoas sugeriram que eu use o Kerberos cross-realm juntamente com a orientação para o lugar certo para escrever esta pergunta. Eu olhei para o Kerberos cross-real trust, mas descobri que eu preciso ter uma senha para a confiança inserida em ambos os anúncios. O que não posso fazer, pois não tenho permissões de administrador no AD externo.

Você ajuda é muito apreciado. Agradecemos antecipadamente

    
por Abdulrahman 31.12.2013 / 09:34

1 resposta

1

Serviços do Active Directory Lightweight Directory Services (AD LDS) como um ajuste razoável para o que você está procurando. O que você está chamando de "Internal AD" pode ser uma instância do AD LDS que autentica o que você está chamando de "External AD".

Não tenho certeza se estou entendendo exatamente o seu caso de uso, mas acho que O redirecionamento de ligação do AD LDS provavelmente faria exatamente o que você está procurando.

    
por 01.01.2014 / 07:25