试图弄清楚LDAP身份验证是什么。我可以使用LDAP对MS Active Directory,Samba4,FreeIPA和OpenLDAP进行身份验证,对吧?
所以,这四个软件可以容纳用户' AUTH-数据。但是为什么Windows身份验证服务无法针对OpenLDAP进行身份验证? AD可以告诉Windows操作系统,OpenLDAP无法告知它?
如果我要为Web服务构建LDAP身份验证,它是否会在所有LDAP驱动的服务上运行?
答案 0 :(得分:1)
正确配置到位后,Windows可以访问OpenLDAP没问题。例如,我知道惠普作为一家公司将OpenLDAP作为一个公司作为其集中的内部认证目录,然后在十五年前转向AD。加入AD域的Windows客户端首先向AD域控制器实例提供Kerberos票证,然后在允许其浏览LDAP目录之前进行身份验证,因为默认情况下Windows客户端无法匿名浏览AD LDAP,因为AD LDAP是受Kerberos保护的(通过AD)资源。您的案例中的OpenLDAP可能过去曾被某人保护过,因此也无法匿名浏览,因此您必须做出一些规定才能让这些Windows客户端能够浏览OpenLDAP目录。您可以通过几种方式完成此操作。简而言之,在您按照自己的方式工作之前,需要进行安全性重新配置。这是一个链接,显示如何保护OpenLDAP,只需对指令进行反向工程以进行必要的更改以打开访问:OpenLDAP Access Control并注意任何Web应用程序服务器都可以快速配置为指向任何LDAP目录进行身份验证,但是Web应用程序服务在任何时候都只能指向一个类型的 LDAP,因此要么指向AD,要么指向Open LDAP,但不能同时指向两者。这是否回答了你的问题?