是否可以使用此表单连接到OpenLDAP服务器作为活动目录 “username @ domain” 我已经测试了这个表单,它连接到活动目录但是使用openLdap我必须输入完整的DN。
如果可能的话,有没有人知道如何修改我的openLDAP作为AD连接
感谢。
答案 0 :(得分:1)
如果要使用相同的DN对Openldap和AD用户进行身份验证,则需要从openldap服务器向AD服务器添加代理。
您需要使用back_ldap模块将AD数据库设为Openldap数据库的subordinate。
您可以在openldap / ad中添加自定义属性以获得用户的唯一性,我们发现电子邮件属性在双方都很常见。
答案 1 :(得分:0)
如果要在openLDAP中使用其他绑定名称,例如userPrincipalName(username @ realm),则需要2.4版本的重写/重映射覆盖slapo-rwm。
一个非常简单的例子是:
# Typed and not tested!
rwm-rewriteEngine on
rwm-rewriteContext addName
rwm-rewriteRule "(.*)" "userPrincipalName=$1" ":"
rwm-rewriteMap ldap upn2dn "ldap://host/dc=my,dc=org?dn?sub"
rwm-rewriteContext bindDN
rwm-rewriteRule ".*" "${upn2dn($0)}" ":@I"
修改
回复评论中的问题:LDAP作为协议没有唯一性概念,它是一个产品功能。例如,使用OpenLDAP,您可以使用唯一叠加层在适当的后端中为某些属性类型强制实现唯一性。使用phpLDAPAdmin,您可以配置应由该客户端测试唯一性的属性类型。