Если веб-приложение аутентифицирует пользователя из другого домена, значит ли это, что оно может использовать LDAP?

Question

Как видно из заголовка, если веб-сервер IIS, работающий в домене активного каталога 'domain_A', может аутентифицировать пользователя (проверка подлинности Windows) из домена 'domain_B', означает ли это, что domain_A может использовать LDAP для запроса 'domain_B'??

Как дополнительное примечание, я пропинговал ldap 'domain_B' на порт 389, и он не отображается.

Спасибо

Answer 1

Возможен, но не единственный подход, который даст те же результаты.Сервер в domain_A может иметь что-то вроде

<add name="ADConnectionString" connectionString="LDAP://domaincontroller.domain_B.gTLD/DC=domain_B,DC=gTLD" />

для выполнения проверки подлинности против domain_B с использованием LDAP.Подключение будет осуществляться с сервера в domain_A, поэтому, если вы не пытаетесь подключиться к этому серверу ... порт 389 (открытый текст ldap) или 636 (ssl ldap) закрыты, ничего не значит.

Но также возможно, что два домена являются частью одного и того же леса или между доменами установлено доверие.Веб-серверы могут быть настроены на использование базовой аутентификации.Вам нужно было бы посмотреть конфигурацию IIS на сервере в domain_A, чтобы быть уверенным.