使用 LDAP 链接身份验证

Question

我有以下两个 ldap (slapd) 服务器：

company.com

• ou=users,dc=company,dc=com
  • uid=employee1
  • uid=employee2

opensourceproject.com

• ou=users,dc=opensourceproject,dc=com
  • uid=member1
  • uid=member2

我想要实现的是，客户端（bugzilla、svn 等）可以透明地查询两台服务器上用户的 opensourceproject.com ldap。查询可能是：“check authenticationof uid=employee1”，由客户端发送到 opensourceproject.com ldap 服务器。服务器现在应该查看他的列表并查看用户是否可用，如果不链接到 company.com ldap 并查看那里，如果存在：返回结果。

有可能实现吗？大多数客户需要一个搜索库来查找会员，所以我可能会在 ou=users,dc=opensourceproject,dc=com 上进行搜索，而 company 上不存在该搜索.com 服务器，所以我不知道如何连接两棵树。如果我使用空的搜索库，那会起作用吗？我想我可能会遇到各种绑定问题。

是否可以使用 ldap 进行这项工作？如果是，怎么做？

Answer 1

至少存在四种可能的解决方案：

• LDAP 客户端必须执行两次搜索，一次使用与一台服务器上用户位置对应的基本对象，另一次使用与另一台服务器上用户位置对应的基本对象；必须为每台服务器调整要检索的搜索范围、过滤器和属性。此解决方案虽然可行，但形式不佳，因为 LDAP 客户端必须知道两组不同的信息（每个服务器一组），这使得该解决方案无法扩展、脆弱和脆弱。还有一个策略问题：如果两个服务器都存在一个身份验证 ID，应该使用哪个身份验证？
• 使用支持 DN 映射的 LDAP 代理服务器，其中代理服务器可以将 dc=opensourceproject,dc=com 的查询转换为 dc=company,dc=com 的查询。这样的产品可以从UnboundID购买。上述政策问题适用。
• 使用同步服务器合并两台服务器上的数据，并将结果存放在第三台服务器中，由 LDAP 客户端查询。然后由同步服务器管理上述政策问题。
• 手动合并两台服务器上的数据。