Мы пытаемся разработать решение ACL, которое бы обслуживало как внутренних пользователей (в настоящее время управляемых с помощью Windows AD, выходящих за рамки проекта), так и внешних пользователей. Идея состоит в том, чтобы иметь новый сервер LDAP, другой сервер Windows AD или не-AD, такой как openldap, который будет использоваться для управления внешними пользователями и всеми группами, которые будут использоваться для ACL.
И тогда будет настроено обращение к внутренней Windows AD, чтобы аутентификация работала как для внутренних, так и для внешних учетных записей, а членство в группах для групп, определенных на новом сервере LDAP, было бы открыто как для внутренних, так и для внешних учетных записей. *
Проблема в том, чтобы заставить реферала работать, сначала следуя этому документу http://technet.microsoft.com/en-us/library/cc978014.aspx (в разделе «Создание внешней перекрестной ссылки для внутреннего местоположения»), похоже, вам нужен внешний сервер ldap с таким же домен, как внутренний, это кажется проблемой, по крайней мере, при использовании Windows AD в качестве внешнего сервера.
Также из-за ограничений безопасности на месте нельзя создать доверительные отношения, чтобы внутренние пользователи могли быть добавлены в качестве членов групп, созданных на внешнем сервере. Так есть ли способ обойти это? Для внешнего сервера лучше использовать openldap, а не Windows AD?
Любые указатели приветствуются.
Приветствия