В настоящее время у нас есть небольшая группа пользователей, которые настроены на компьютере Microsoft SBS, поэтому доступны в активном каталоге.
Эти пользователи, как и многие другие, также имеют записи на втором сервере LDAP (openLDAP). Этот второй сервер используется для аутентификации и контроля доступа для нескольких различных вещей, таких как наша внутренняя веб-система учета рабочего времени, система подсказок, форумы и контроль над хранилищами Subversion.
Таким образом, для группы, которая находится в офисе, у них есть две отдельные учетные записи, для которых они должны запомнить идентификатор и пароль. Некоторые из этих внутренних систем нелегко настроить для аутентификации на нескольких серверах LDAP (mod_authnz_ldap).
По разным причинам мы не хотим, чтобы дополнительные пользователи и группы загромождали Active Directory на компьютере SBS.
Я бы хотел как-то настроить виртуальный сервер LDAP, который мог бы работать на двух существующих серверах LDAP и обеспечивать единое представление. Он будет извлекать информацию о пользователях из AD, а также с сервера openLDAP или поддерживать внутренних пользователей и группы.
(На самом деле, внутренне, вероятно, было бы лучше, поскольку были бы группы, которые существовали бы только на агрегированном сервере, которому мы хотели бы назначать пользователей с сервера AD в качестве участников.)
Единственная мысль, которую я знаю об этом, близка к выполнению того, что я хочу, это виртуальный сервер каталогов Penrose , но я хотел посмотреть, есть ли другие варианты, прежде чем я исследую это гораздо дальше.