1

次の2つのLDAP(slapd)サーバーがあります。

company.com

  • ou = users、dc = company、dc = com
    • uid = employee1
    • uid = employee2

opensourceproject.com

  • ou = users、dc = opensourceproject、dc = com
    • uid = member1
    • uid = member2

私が達成したいのは、クライアント(bugzilla、svnなど)が両方のサーバー上のユーザーに対してopensourceproject.comldapを透過的に照会できることです。クエリは次のようになります。「checkauthenticationofuid= employee1」、クライアントからopensourceproject.comldapサーバーに送信されます。サーバーは自分のリストを調べて、ユーザーが利用可能かどうかを確認する必要があります。利用できない場合は、company.com ldapにチェーンして、存在する場合はそこを確認します。結果を返します。

これを達成することは可能ですか?ほとんどのクライアントはメンバーを見つけるために検索ベースを必要とするので、おそらく、 company.comサーバーに存在しないou = users、dc = opensourceproject、dc = comで検索が行われるので、よくわかりません。 2本の木をつなぐ方法。空の検索ベースを使用した場合、それは機能しますか?バインディングでいろいろなトラブルに遭遇する可能性があると思います。

これをLDAPで動作させることは可能ですか?はいの場合、どのように?

4

1 に答える 1

3

少なくとも4つの可能な解決策があります。

  • LDAPクライアントは2つの検索を実行する必要があります。1つは一方のサーバー上のユーザーの場所に対応するベースオブジェクトを使用し、もう1つはもう一方のサーバー上のユーザーの場所に対応するベースオブジェクトを使用します。取得する検索スコープ、フィルター、および属性は、サーバーごとに調整する必要があります。このソリューションは実行可能ですが、LDAPクライアントが2つの異なる情報セット(サーバーごとに1つ)を認識している必要があるため、形式が不十分です。これにより、ソリューションは拡張性がなく、壊れやすく、脆弱になります。また、ポリシーの問題もあります。両方のサーバーに認証IDが存在する場合、どちらの認証を使用する必要がありますか?
  • DNマッピングをサポートするLDAPプロキシサーバーの使用。プロキシサーバーはのクエリをのdc=opensourceproject,dc=comクエリに変換できますdc=company,dc=com。このような製品は、UnboundIDから購入できます。上記のポリシーの質問が適用されます。
  • 同期サーバーを使用して両方のサーバー上のデータを結合し、結果をLDAPクライアントによって照会される3番目のサーバーに保管します。上記のポリシーの質問は、同期サーバーによって管理されます。
  • 2台のサーバーのデータを手動で結合します。
于 2012-04-13T09:34:54.703 に答える