Eu tenho a seguinte situação: Eu tenho um site que precisa autenticar usuários, alguns deles serão usuários internos que estão armazenados em um domínio de diretório ativo, mas haverá outros usuários (clientes e contratados) que eu não deseja armazenar no AD, mas ainda gostaria de tê-los mantidos em um banco de dados LDAP central.
Então, eu achei que seria bom autenticar o servidor web contra o LDAP local, e se um usuário não foi encontrado, passe-o de forma transparente para o servidor LDAP do AD.
Isso é possível? Examinei a documentação do LDAP e ainda não tenho certeza sobre todas as opções disponíveis.
Eu estaria usando o OpenLDAP no linux.
Sim, você pode configurar o OpenLDAP para atuar como um servidor LDAP de proxy de armazenamento em cache, finalizado pelo AD.
Veja este por exemplo (mas apenas faça uma pesquisa por "pode solicitações de ldap de proxy do openldap para ativo diretório "e você terá muito o que procurar".
Você pode armazená-los em uma partição do ADAM (agora chamada de AD LDS em 2008). Então você pode ter todos os seus usuários (internos e externos) em um serviço de diretório. Você não precisaria gerenciar o openldap e pode usar as mesmas ferramentas usadas para gerenciar seus usuários existentes para gerenciar seus usuários externos sem colocar o usuário externo em sua floresta atual. Você pode encontrar uma visão geral do ADAM aqui: Crie diretórios personalizados com o ADAM
Tags authentication openldap