Eu fiz esta pergunta no stakoverflow sem uma resposta ainda, então estou tentando a minha sorte aqui, pois pode ser mais relevante para os administradores ..
Estamos tentando desenvolver uma solução de ACL que atenda a usuários internos (atualmente gerenciados pelo Windows AD que estão fora do escopo do projeto) e a usuários externos. A idéia é ter um novo servidor LDAP, outro servidor Windows AD ou não-AD, como o openldap, que será usado para gerenciar usuários externos e todos os grupos que serão usados para a ACL.
E uma referência ao Windows AD interno seria configurada para que a autenticação funcionasse para contas internas e externas e a associação ao grupo para os grupos definidos no novo servidor LDAP seria aberta para contas internas e externas.
O problema é fazer com que o encaminhamento funcione, primeiro seguindo este documento link (em " Criando uma referência cruzada externa para um local interno ") parece que você precisa ter o servidor ldap externo com o mesmo domínio que o interno, isso parece ser um problema, pelo menos ao usar o Windows AD como o servidor externo, bem .
Também devido a restrições de segurança em vigor, as relações de confiança não podem ser criadas para que usuários internos possam ser adicionados como membros de grupos criados no servidor externo. Então, há uma maneira de contornar isso? É melhor usar o openldap em vez do Windows AD para o servidor externo?
Todos os ponteiros seriam muito apreciados.
Felicidades
O que você está tentando fazer parece muito com uma confiança.
Onde estarão essas ACLs? Em alguns casos, uma confiança unidirecional pode ser apropriada.
Como alternativa, confira o ADFS (serviços de federação de diretório ativo) que pode ser usado para federar o acesso sem relações de confiança reais, o que é útil para parceiros externos, etc.
Não sei por que você deseja usar o OpenLDAP em vez de uma segunda floresta do AD com uma relação de confiança unidirecional, mas, para sua pergunta, nunca vi um crossRef em um diretório estrangeiro implementado. Dito isso, não vejo razão para estar dentro de um namespace contíguo.
Tags ldap active-directory