Вопрос, на который вы ссылались, относится к Archer v5.x и v6.x, поэтому все, что я там упомянул, остается в силе по состоянию на 2019-04-26.
Вернуться к заданным вами вопросам:
- Можно ли вообще в Archer заставить группы показывать участников из 2 AD?
Ответ "Да", но нетак просто.Если вы проверите таблицы на сервере, то увидите, что существует два типа групп:
Группы, созданные вручную администраторами Archer.Эти группы не являются частью какого-либо источника LDAP, и вы не можете синхронизировать эти группы / пользователей.
Группы, созданные с помощью синхронизации LDAP.Эти группы и пользователи синхронизируются с конфигурацией синхронизации LDAP.
В вашем случае, если у вас настроены две синхронизации LDAP, у вас будет два набора групп LDAP и два набора пользователей LDAP,Предполагается, что синхронизация LDAP настроена на добавление и синхронизацию групп и пользователей с использованием фильтров правильно.
Исходя из того, что вы использовали совместно, если у вас есть группа "ABC" в обоих источниках LDAP, у вас будет две группы, добавленные в Archer.В конце таблицы tblGroup они будут иметь разные значения «ldap_config_id», но с одинаковым именем.
То же самое относится и к пользователям - если у вас есть пользователь «User1» в обоих источниках LDAP, вы в итоге получите двух пользователей.с разными доменами и разными "ldap_config_id".
Назад к вашему вопросу - Да, если у вас два источника LDAP с одинаковым именем группы, вы получите две группы с одинаковым именем, в каждой группе должны быть пользователи из соответствующихLDAP назначен, если вы настроили обе синхронизации LDAP для добавления и синхронизации групп и пользователей.Если это не работает для вас, просмотрите конфигурацию синхронизации LDAP.Возможно, у вас не включена опция синхронизации групп или не установлены фильтры для их получения.
Нужны ли какие-либо специальные разрешения учетной записи службы LDAP?
В Archer - нет, но в источнике LDAP (Active Directory) учетная запись, указанная вами в конфигурации LDAP, должна иметь доступ к запросу.определенные области.Учетная запись, которую вы используете для второго LDAP, может не иметь доступа к группам запросов.Я не эксперт по безопасности AD, вам следует поговорить с администратором AD по этому вопросу.
Что-нибудь еще, что мне не хватает, или какие-либо жизнеспособные обходные пути?
Смотрите старый вопрос / ответ, на который вы ссылались.Принципы синхронизации LDAP в Archer v5 и v6 такие же, как я знаю.
На мой взгляд, лучшим решением является установление "виртуальной связи" или доверия между обоими активными каталогами.Третье объявление может быть создано с объединением или соединением AD № 1 и AD № 2.Таким образом, вы можете запросить AD # 3 и предоставить группы и пользователей, используя только одну конфигурацию синхронизации LDAP / Домен.Это самое простое решение для вас, но вашему администратору AD придется проделать определенную работу.
Вы также можете проверить другие опции в старом вопросе.
PS: экземпляр, для которого я разрабатываюу меня было 2 источника LDAP, но я настроил их на уникальные имена групп и уникальных пользователей.Таким образом, столкновения не происходят.
Удачи!