Quando o AD LDS é realmente necessário

Question

Quando o AD LDS é realmente necessário

#1 resposta do (0 votos)

1

Eu tenho uma pergunta sobre o propósito do AD LDS.

Atualmente, estou brincando com a infraestrutura de servidores do Windows para ter um melhor entendimento de seu funcionamento interno e visar a criação de uma rede de teste simples. Terminei de instalar e configurar meu controlador de domínio (com AD DS, DHCP e DNS instalados) e agora pretendo criar uma rede externa (mais comumente conhecida como zona DMZ no mundo dos negócios) que provavelmente conterá um ponto de compartilhamento ou normal aplicação web.

Do que pesquisei, entendo que posso usar a autenticação LDAP para executar o acesso de logon único nos meus aplicativos da web. Eu também entendo que o AD DS vem instalado com a porta LDAP também. Minha pergunta é a seguinte: ainda preciso do uso de um AD LDS nesta situação?

Pelo que entendi sobre o AD LDS, ele permite que eu sincronize os dados do usuário do meu diretório ativo. Com os dados sincronizados, posso executar a autenticação do ldap. No entanto, o mesmo pode ser alcançado sem o uso do AD LDS, certo? Eu ainda posso me conectar à porta ldap no meu diretório ativo e ainda conseguir a mesma coisa, certo?

ldap active-directory ad-lds

por weejing 05.09.2017 / 12:47

1 resposta

Tags ldap active-directory ad-lds

Win 2012 R2 / IIS 8.5 intermitente Conexão recusada Inicializando e executando com o Docker EE

score 0 · Answer 1

Eu não acho que você precise usar o LDS.

O AD LDS é um diretório LDAP básico; AD DS com o material específico do Windows retirado dele. Você pode ter várias instâncias de LDS (em portas diferentes) em um servidor, enquanto você só pode ter uma instância do AD DS em um controlador de domínio.

Se você quiser seus usuários do AD DS no AD LDS, você pode usar o ADAMSync, mas isso não sincroniza senhas.

Se você quiser usar as mesmas senhas, poderá usar userProxy ou userProxyFull objetos no AD LDS, mas isso exigirá que você copie a objectSID da conta de usuário do AD DS para o proxy da conta de usuário do AD LDS. E isso exige que o servidor LDS possa entrar em contato com o controlador de domínio do AD DS para autenticação do usuário. O aplicativo passa o ID e a senha para o LDS. O LDS executa uma pesquisa do Id e recupera o objectSID que encaminha para o DC. Em seguida, ele passa a resposta do DC de volta para o aplicativo. userProxies pode ser um problema - se uma conta for excluída e depois recriada, você terá que lembrar de atualizar o objectSid no objeto userProxy no LDS.

Se você deve expor seu AD DS à Internet por meio do DMZ, ou aplicativos hospedados nele, é outra pergunta. Mas isso é um problema de design e não técnico. Eu diria que provavelmente não, a propósito.