Как междоменное доверие ActiveDirectory переносится на запрос LDAP?

Question

Я использую LDAP внутри Plone, работающего за Apache на RHEL5, для аутентификации пользователей по ActiveDirectory. Это прекрасно работало, пока мы не внедрили междоменное доверие. Теперь клиент LDAP не знает, как проходить аутентификацию на других доверенных доменах, поэтому другие пользователи не могут использовать веб-сервис.

Есть ли хороший способ для стандартного клиента LDAP обнаружить междоменное доверие и попытаться выполнить проверку подлинности также?

Answer 1

Вот начало ответа:

Существуют объекты из класса 'trustedDomain', называемые объектами доверенного домена (TDO), которые представляют каждое доверительное отношение в конкретном домене.Каждый раз, когда устанавливается доверие, уникальный TDO создается и сохраняется (в системном контейнере) в своем домене.Такие атрибуты, как доверительная транзитивность, тип и обратные доменные имена, представлены в TDO.

Если я использую 'LDIFDE.EXE', который является интегрированным инструментом Windows Server, таким как 'ldapsearch', в OpenLDAP дляпоиск такого объекта:

C:\>ldifde -f trustedDomain.lfd -d "cn=system,dc=dom,dc=fr" -r "objectClass=trustedDomain" -l cn

Результат:

dn: CN=mod.dom.fr,CN=System,DC=dom,DC=fr
changetype: add
cn: mod.dom.fr

dn: CN=soc.fr,CN=System,DC=dom,DC=fr
changetype: add
cn: soc.fr

У меня есть два доверенных домена, которые я могу запросить по значению атрибута 'CN'этот объект.