Возможно ли подключиться к серверу OpenLDAP в качестве активного каталога с этой формой? «username @ domain» Я протестировал эту форму, она подключается к активной директории, но с openLdap мне нужно поставить полный DN.Аутентификация Openldap и ActiveDirectory
Кто-нибудь имеет какие-либо идеи, как изменить мой OpenLDAP для подключения в AD, если это возможно
Спасибо.
Если вы хотите использовать альтернативные имена связывания, такие как userPrincipalName (имя_пользователя @ realm) с помощью openLDAP, вам понадобится переписывание/повторный набросок slapo-rwm с версией 2.4.
Очень простой пример был бы:
# Typed and not tested!
rwm-rewriteEngine on
rwm-rewriteContext addName
rwm-rewriteRule "(.*)" "userPrincipalName=$1" ":"
rwm-rewriteMap ldap upn2dn "ldap://host/dc=my,dc=org?dn?sub"
rwm-rewriteContext bindDN
rwm-rewriteRule ".*" "${upn2dn($0)}" ":@I"
EDIT
В ответе на этот вопрос в своем комментарии: LDAP как протокол не имеет понятия уникальности, это особенность продукта. Например, с помощью OpenLDAP вы можете использовать уникальный оверлей для обеспечения уникальности для определенных типов атрибутов в подходящих бэкэндах. С помощью phpLDAPAdmin вы можете настроить типы атрибутов, которые должны быть проверены на уникальность этого клиента.
Спасибо за ваши ответы, на самом деле я ищу способ найти уникальный атрибут, моя идея заключалась в использовании атрибута uid, потому что, когда я пытаюсь добавить значение, которое уже используется в другой записи, phpldapadmin отказывается его сохранять, наоборот когда я добавляю пользователя с помощью java-метода, он получает дублирующее значение uid. ??? –
@AnasBenMansour Вам нужен OpenLDAP 'unique' overlay. – EJP
Если вы хотите аутентифицировать пользователей Openldap и AD, используя тот же DN, вам необходимо добавить прокси-сервер к серверу AD с сервера openldap.
Для создания базы данных AD вам необходимо использовать back_ldap. subordinate базы данных Openldap.
Вы можете добавить пользовательский атрибут в openldap/ad для уникальности пользователя, в основном мы находим атрибут email как общий с обеих сторон.
OpenLDAP - это сервер LDAP. ActiveDirectory - еще один. «Таким образом, подключение к серверу OpenLDAP в качестве активного каталога» бессмысленно. OpenLDAP не поддерживает 'username @ domain' как имя связывания. Вы должны сначала найти каталог для пользователя с этим адресом электронной почты и использовать DN этой записи как имя связывания. – EJP