试图弄清楚 LDAP 身份验证是什么。我可以使用 LDAP 针对 MS Active Directory、Samba4、FreeIPA 和 OpenLDAP 进行身份验证,对吗?
所以,这四个软件可以保存用户的auth-data。但为什么 Windows 身份验证服务无法针对 OpenLDAP 进行身份验证?什么 AD 可以告诉 Windows 操作系统,而 OpenLDAP 不能告诉?
如果我将为 Web 服务构建 LDAP 身份验证,它是否适用于所有 LDAP 支持的服务?
问问题
1697 次
1 回答
1
提前进行正确的配置,Windows 可以毫无问题地访问 OpenLDAP。例如,我知道惠普作为一家公司在 15 年前切换到 AD 之前,作为一家公司使用 OpenLDAP 作为其集中的内部身份验证目录。加入 AD 域的 Windows 客户端首先向 AD 域控制器实例提供 Kerberos 票证并在允许它们浏览其 LDAP 目录之前进行身份验证,因为默认情况下 Windows 客户端无法匿名浏览 AD LDAP,因为 AD LDAP 是受 Kerberos 保护的(由AD)资源。在您的情况下,OpenLDAP 过去可能受到某人的保护,因此它也无法匿名浏览,因此您必须做出一些准备以使这些 Windows 客户端能够浏览 OpenLDAP 目录。你可以通过几种方式做到这一点。简而言之,在按照您想要的方式工作之前,需要重新配置安全性。这是一个显示如何保护 OpenLDAP 的链接,只需对说明进行逆向工程以进行必要的更改以打开访问权限: OpenLDAP 访问控制并注意任何 Web 应用程序服务器都可以快速配置为指向任何 LDAP 目录进行身份验证,但是 Web 应用程序服务在任何时候只能指向一种类型的 LDAP,因此要么指向 AD,要么指向打开 LDAP,但不能同时打开两者。这回答了你的问题了吗?
于 2017-09-17T13:15:03.777 回答