Обзор
Есть два домена: domainA и domainB. Я пытаюсь выполнить конфигурацию, чтобы веб-сервер из домена B мог использовать учетную запись службы AD в другом домене A.
В среде, где находится domainB, у меня есть веб-сервер, которому необходимо обратиться к domainA, чтобы иметь возможность запрашивать всех пользователей. Владельцы учетной записи domainA создали пользователя учетной записи службы, которая позволяет domainB запрашивать базу пользователей. Мы установили, что учетная запись работает при тестировании напрямую от контроллера domainB к контроллеру domainA. Когда мы пытаемся запустить ldapsearch с веб-сервера с использованием учетной записи пользователя службы, мы сталкиваемся с некоторыми проблемами:
[ec2-user@hostname ~]$ ldapsearch -x -LLL -h $domainB_ipAddress -D $service_account_username -w $ad_pwd -b "OU=xxxxx,DC=xxxxx,DC=xxxxx,DC=xxxxx"
ldap_bind: Invalid credentials (49)
additional info: 80090308: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839
Примечание. Этот пользователь успешно прошел аутентификацию от контроллера AD domainB к контроллеру AD domainA с помощью привязки ldp.exe, поэтому я считаю, что учетные данные в порядке.
Наш текущий подход
Основываясь на обратной связи, которую я получил от своей команды, мы должны сделать запрос учетной записи службы с веб-сервера domainB на контроллер domainB, который затем перешлет эту информацию доверенному контроллеру domainA и вернет желаемую информацию обратно на веб-сервер domainB.
Я немного смущен тем, как должна происходить эта переадресация, но у нас есть требование, чтобы мы не могли напрямую подключиться к контроллеру domainA с любого сервера, отличного от AD, из domainB.
Запрошенный отзыв
- Правильно ли предположить, что любой запрос должен быть перенаправлен с контроллера domainB на контроллер domainA? Если да, то что нужно сделать, чтобы это произошло?
- Если запросы не могут быть переадресованы, что нам нужно сделать, чтобы получить пользователей из доверенного домена A в контроллер домена B, чтобы учетная запись службы могла ссылаться на них там?