我的团队刚刚“继承”了一个带有 2 个 AD 和 LDAP 同步设置的 Archer 设置。LDAP 同步单独工作正常;我们能够根据 LDAP 配置的过滤器查看用户/组。但是,我们在 AD#1 中有一些组,其中包含来自 AD#2 的用户,并且 LDAP 同步仅在 Archer 中显示/拉取来自 1 个 AD 的用户。我在Archer 6.4上。
我的问题:
我看过这个问题,它谈到了一些可能性,但它已经很老了,所以开始一个新问题。任何帮助是极大的赞赏。
您提到的问题与 Archer v5.x 和 v6.x 有关,所以我提到的所有内容截至 2019-04-26 仍然有效。
回到你问的问题:
- 在 Archer 中是否有可能让小组展示来自 2 个 AD 的成员?
答案是“是”,但没那么简单。如果您检查后端的表格,您会看到有两种类型的组:
Archer 管理员手动创建的组。这些组不属于任何 LDAP 源,您无法同步这些组/用户。
通过 LDAP 同步创建的组。这些组和用户与 LDAP 同步配置同步。
在您的情况下,如果您配置了两个 LDAP 同步,那么您将拥有两组 LDAP 组和两组 LDAP 用户,假设 LDAP 同步配置为正确使用过滤器添加和同步组和用户。
如果您在两个 LDAP 源中都有组“ABC”,则根据您共享的内容,您将有两个组添加到 Archer。在表 tblGroup 的后端,它们将具有不同的“ldap_config_id”值,但名称相同。
同样适用于用户 - 如果您在两个 LDAP 源中都有用户“User1”,那么您最终将得到两个具有不同域和不同“ldap_config_id”的用户。
回到您的问题 - 是的,如果您有两个具有相同组名的 LDAP 源,您最终将得到两个具有相同名称的组,如果您将两个 LDAP 同步配置为添加和同步组,则每个组都应分配来自相应 LDAP 的用户用户。如果这对您不起作用,请查看您的 LDAP 同步配置。您可能没有启用同步组的选项,或者没有任何过滤器来获取它们。
- LDAP 服务帐户是否需要任何特殊权限?
在 Archer 中 - 没有,但在 LDAP 源(Active Directory)中,您在 LDAP 配置中指定的帐户应该有权查询某些区域。您用于第二个 LDAP 的帐户可能无权访问查询组。我不是 AD 安全方面的专家,您应该就此事与 AD 管理员交谈。
我还缺少其他任何东西,或者任何可行的解决方法?
请参阅您引用的旧问题/答案。Archer v5 和 v6 中的 LDAP 同步主体与我所知道的相同。
我认为最好的解决方案是在两个 Active Directory 之间建立“虚拟链接”或信任。可以通过合并或链接 AD#1 和 AD#2 创建第三个 AD。这样,您可以查询 AD#3 并通过仅使用一个 LDAP 同步配置/域为您提供组和用户。这对您来说是最简单的解决方案,但您的 AD 管理员必须做一些工作。
您也可以检查旧问题中的其他选项。
PS:我开发的实例有 2 个 LDAP 源,但我将它们配置为具有唯一的组名和唯一的用户。这样就不会发生碰撞。
祝你好运!
哈恩,我不确定 Archer 如何处理来自两个不同 AD 的用户,这些用户在第一个 AD 中找到的同一组中的成员。
最好联系 Archer 支持并向他们提出问题。
我还在 RSA 合作伙伴社区看到了一个类似的问题。支持人员可能会在此处回复该帖子或遇到相同问题的其他客户。