我们正在尝试开发一种ACL解决方案,以满足内部用户(目前通过Windows AD管理,超出项目范围)和外部用户的需求。我们的想法是拥有一个新的LDAP服务器,另一个Windows AD或非AD服务器,如openldap,它将用于管理外部用户和所有用于ACL的组。
然后将设置对内部Windows AD的引用,以便身份验证对内部和外部帐户都有效,并且新LDAP服务器中定义的组的组成员身份将对内部和外部帐户开放。
问题是让推荐工作,首先遵循此文档http://technet.microsoft.com/en-us/library/cc978014.aspx(在“为内部位置创建外部交叉引用”下),似乎您需要让外部ldap服务器具有相同的域作为内部问题,这似乎是一个问题,至少在使用Windows AD作为外部服务器时也是如此。
此外,由于安全限制,无法创建信任关系,以便可以将内部用户添加为在外部服务器中创建的组的成员。那么有办法解决这个问题吗?对外部服务器使用openldap而不是Windows AD是否更好?
任何指针都会非常感激。
干杯
答案 0 :(得分:0)
@Haddad,您指出的示例从未提及外部服务器必须位于同一个域中。要求是你的dns应该可以解析dnsRoot。
看看这个http://support.microsoft.com/kb/241737
AD运行yourdomain.msft并且引荐服务器在mydomain.msft中运行