Я использую LDAP внутри Plone, работающего за Apache на RHEL5, для аутентификации пользователей по ActiveDirectory. Это отлично работало, пока мы не внедрили междоменное доверие. Теперь клиент LDAP не знает, как пройти аутентификацию в других доверенных доменах, поэтому другие наши пользователи не могут использовать веб-службу.
Есть ли хороший способ для стандартного клиента LDAP обнаружить междоменное доверие и попытаться аутентифицироваться против них?
Вот начало ответа:
Существуют объекты из класса «trustedDomain», называемые объектами доверенного домена (TDO), которые представляют каждое доверительное отношение в определенном домене. Каждый раз, когда устанавливается доверие, создается уникальный TDO, который сохраняется (в системном контейнере) в своем домене. Такие атрибуты, как транзитивность доверия, тип и взаимные доменные имена представлены в TDO.
Если я использую 'LDIFDE.EXE', который является интегрированным инструментом сервера Windows, например 'ldapsearch' в OpenLDAP, для поиска такого объекта:
C:\>ldifde -f trustedDomain.lfd -d "cn=system,dc=dom,dc=fr" -r "objectClass=trustedDomain" -l cn
Результат:
dn: CN=mod.dom.fr,CN=System,DC=dom,DC=fr
changetype: add
cn: mod.dom.fr
dn: CN=soc.fr,CN=System,DC=dom,DC=fr
changetype: add
cn: soc.fr
У меня есть два доверенных домена, которые я могу запросить по значению атрибута 'CN' этого объекта.
