我在 RHEL5 上的 Apache 后面运行的 Plone 中使用 LDAP 来根据 ActiveDirectory 对用户进行身份验证。在我们实现跨域信任之前,这一直很有效。现在 LDAP 客户端不知道如何针对其他可信域进行身份验证,因此我们的其他用户无法使用 Web 服务。
标准 LDAP 客户端是否有一种很好的方法来发现跨域信任并尝试对它们进行身份验证?
最佳答案
这是一个答案的开始:
它存在来自类“trustedDomain
”的对象,称为可信域对象 (TDO),代表特定域中的每个信任关系。每次建立信任时,都会在其域中创建并存储(在系统容器中)一个唯一的 TDO。信任传递性、类型和互惠域名等属性在 TDO 中表示。
如果我使用“LDIFDE.EXE
”,这是一个集成的 Windows 服务器工具,如 OpenLDAP 上的“ldapsearch
”来搜索此类对象:
C:\>ldifde -f trustedDomain.lfd -d "cn=system,dc=dom,dc=fr" -r "objectClass=trustedDomain" -l cn
结果是:
dn: CN=mod.dom.fr,CN=System,DC=dom,DC=fr
changetype: add
cn: mod.dom.fr
dn: CN=soc.fr,CN=System,DC=dom,DC=fr
changetype: add
cn: soc.fr
我有两个可信域,我可以从该对象的“CN
”属性值中查询它们。
关于active-directory - ActiveDirectory 跨域信任如何转移到 LDAP 查询?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3161566/