Posso vincular usuários de proxy de uma única instância do LDS a vários domínios?

Navegue suas respostas
1

Eu tenho uma configuração do Active Directory Lightweight Directory Services. Eu tenho objetos que representam usuários no Active Directory (Domain_A). Eu configurei seu atributo objectSID e os usuários podem autenticar no LDS com sua senha do Active Directory. Eu amo isso.

Aqui está um rastreamento de rede Wireshark formatado de uma autenticação de proxy LDS bem-sucedida: 

LDAP    bindRequest(1) "cn=ixe013,cn=Users,cn=Fizz,dc=Buzz,dc=tst" simple 
KRB5    AS-REQ
KRB5    KRB Error: KRB5KDC_ERR_PREAUTH_REQUIRED
KRB5    AS-REQ
KRB5    AS-REP
KRB5    TGS-REQ
KRB5    TGS-REP
LDAP    bindResponse(1) success 
LDAP    unbindRequest(2)

Eu quero trazer novos usuários, de um Active Directory (Domain_B) diferente que não tenha relação de confiança com o Active Directory do Domain_A.

Existe uma maneira de dizer ao LDS em qual domínio procurar usuários ou sempre procura no domínio em que está, talvez usando outro protocolo além do Kerberos?

+ Eu descobri o provisionamento do usuário, não preciso mencioná-lo. Obrigado!

    
por ixe013 20.03.2012 / 03:23

1 resposta

1

O objectSID no proxy do usuário é pesquisado usando o MS-LSAT. O link tem detalhes. Pegue um netmon ( link ) trace no servidor LDS enquanto faz BIND para veja o que acontece.

Quando o domínio do usuário for identificado, ele tentará usar o nome de usuário, domínio e senha do principal com o qual você fez o BIND para verificá-lo em relação a um DC do domínio relevante. Se puder encontrar um KDC, o Kerberos será usado de acordo com o diagrama.

Como os Domínios A e B não têm confiança, a pesquisa de SID falhará. Portanto, essa implementação que você está tentando não funcionará.

    
por 24.03.2012 / 19:21

Tags

fail2ban com bridge-util A replicação do MySQL não funciona no dia bissexto