是否可以将一个活动目录配置为回退帐户验证到另一个目录？

Question

假设我有两个活动目录: AD-1和AD-2，我想获得以下行为：

当有人试图在AD-2上执行LDAP搜索以进行身份验证时，首先检查AD-2数据库，如果找不到用户将其委托给AD-1。

对于试图验证凭据的客户端来说，这必须是透明的。

理由:我有一些web应用程序正在使用LDAP编辑和检查AD-2服务器。广告1将是主要的公司之一，我无法控制，但AD-2是在我的控制之下。

我需要能够将用户添加到AD-2中，即不是在AD-1中的用户.尽管如此，任何用户frm ad-1cand都被认为对AD-2有效.

广告2包含来自公司外部的用户。

注意:我配置AD的经验很少。

Answer 1

这至少不是Active Directory中已经存在的内容。恰恰相反--在对Kerberos或LDAP进行身份验证时，必须显式指定登录用户的可分辨名称--其中将包括相同的域名。在这种情况下，任何类型的“回退”都是无效的，因为显式指定的域名"ad1“将与" ad2”不匹配，并且在任何情况下对ad2服务器进行查询时，身份验证都将失败。

实现您想要的那种“目录联合”的唯一方法是在所使用的目录之上使用一个覆盖/抽象来执行两个搜索--每个目录一个。如果您可以修改您的web应用程序，您可能会实现一个API这样做，否则，您将需要实现某种类型的代理服务的身份验证具有此功能。

解决这类问题的常见方法称为“身份管理”，尽管目标方向--所有与用户相关的数据的统一和所有应用程序的单点登录--与您试图实现的目标截然相反。

Answer 2

这是您必须在应用程序级别处理的事情。如果您的应用程序对广告进行身份验证调用，您只需对应用程序进行编码，将其用作身份验证源，并在每次迭代时在用户名前加上正确的域名。

这方面没有本地AD功能。

Answer 3

可以利用单向信任来达到这一目的。我不确定，但应该可以将信任与来自内部域的只读域控制器结合使用。如果做不到这一点，就会有第三方应用程序，比如亚特兰蒂斯人，提供针对多个目录的单点登录。

编辑-正如指出的那样，信任只适用于完全限定的名称。我发现这对我的内部用户很好，因为它很容易要求他们包括他们的域名。

我已经成功地使用人群将多个目录合并到一个接口中。不确定您的web应用程序的具体内容，但这个产品(或类似的)可能是一种可能性。