Когда AD LDS действительно требуется

Question

Когда AD LDS действительно требуется

У меня есть вопрос относительно цели AD LDS.

В настоящее время я играю с инфраструктурой серверов Windows, чтобы лучше понять их внутреннюю работу и нацелена на создание простой тестовой сети. Я закончил установку и настройку контроллера домена (с установленными AD DS, DHCP и DNS) и теперь намереваюсь построить внешнюю сеть (более широко известную как зона DMZ в мире бизнеса), которая, вероятно, будет содержать точку общего доступа или обычную. веб приложение.

Из того, что я исследовал, я понимаю, что могу использовать аутентификацию LDAP для выполнения единого входа в доступ к моим веб-приложениям. Я также понимаю, что AD DS также устанавливается с портом LDAP. Мой вопрос заключается в следующем: требуется ли мне использовать AD LDS в этой ситуации?

Из того, что я понимаю об AD LDS, это позволяет мне синхронизировать данные пользователя из моего активного каталога. После синхронизации данных я могу выполнить аутентификацию ldap. Тем не менее, то же самое может быть достигнуто без использования AD LDS не так ли? Я все еще могу подключиться к порту ldap в моем активном каталоге и все же добиться того же, верно?

2

active-directory ldap ad-lds

Источник

weejing 05 сен '17 в 10:47

1 ответ

Другие вопросы по тегам active-directory ldap ad-lds

user2871239 20 сен '17 в 13:34 2017-09-20 13:34 · Answer 1 · 2017-09-20 13:34

Я не думаю, что вам нужно использовать СПД.

AD LDS - это базовый каталог LDAP; AD DS с Windows-специфическим материалом, снятым с него. На одном сервере может быть много экземпляров LDS (на разных портах), тогда как на контроллере домена может быть только один экземпляр AD DS.

Если вы хотите, чтобы ваши пользователи AD DS были в AD LDS, вы можете использовать ADAMSync, но это не синхронизирует пароли.

Если вы хотите использовать те же пароли, вы можете использовать userProxy или же userProxyFull объекты в AD LDS, но для этого необходимо скопировать objectSID от учетной записи пользователя AD DS к прокси учетной записи пользователя AD LDS. И это требует, чтобы ваш сервер LDS мог связаться с вашим контроллером домена AD DS для аутентификации пользователя. Приложение передает идентификатор и пароль в LDS. LDS выполняет поиск Id и получает objectSID, который он пересылает в DC. Затем он передает ответ DC обратно приложению. userProxies может быть проблемой - если учетная запись удалена и позже воссоздана, вы должны помнить, чтобы обновить objectSid в userProxy объект в LDS.

Вопрос о том, должны ли вы размещать свои AD DS в Интернете через DMZ или приложения, размещенные в нем, - это другой вопрос. Но это скорее проблема дизайна, чем технической. Я бы сказал, что нет, кстати.