Интеграция LDAP с доверенным доменом Active Directory

Обзор

Есть два домена: domainA и domainB. Я пытаюсь выполнить конфигурацию, чтобы веб-сервер из домена B мог использовать учетную запись службы AD в другом домене A.

Схема объявлений

В среде, где находится domainB, у меня есть веб-сервер, которому необходимо обратиться к domainA, чтобы иметь возможность запрашивать всех пользователей. Владельцы учетной записи domainA создали пользователя учетной записи службы, которая позволяет domainB запрашивать базу пользователей. Мы установили, что учетная запись работает при тестировании напрямую от контроллера domainB к контроллеру domainA. Когда мы пытаемся запустить ldapsearch с веб-сервера с использованием учетной записи пользователя службы, мы сталкиваемся с некоторыми проблемами:

[ec2-user@hostname ~]$ ldapsearch -x -LLL -h $domainB_ipAddress -D $service_account_username -w $ad_pwd -b "OU=xxxxx,DC=xxxxx,DC=xxxxx,DC=xxxxx" 

ldap_bind: Invalid credentials (49)
        additional info: 80090308: LdapErr: DSID-0C09042A, comment: AcceptSecurityContext error, data 52e, v3839

Примечание. Этот пользователь успешно прошел аутентификацию от контроллера AD domainB к контроллеру AD domainA с помощью привязки ldp.exe, поэтому я считаю, что учетные данные в порядке.

Наш текущий подход

Основываясь на обратной связи, которую я получил от своей команды, мы должны сделать запрос учетной записи службы с веб-сервера domainB на контроллер domainB, который затем перешлет эту информацию доверенному контроллеру domainA и вернет желаемую информацию обратно на веб-сервер domainB.

Я немного смущен тем, как должна происходить эта переадресация, но у нас есть требование, чтобы мы не могли напрямую подключиться к контроллеру domainA с любого сервера, отличного от AD, из domainB.

Запрошенный отзыв

  1. Правильно ли предположить, что любой запрос должен быть перенаправлен с контроллера domainB на контроллер domainA? Если да, то что нужно сделать, чтобы это произошло?
  2. Если запросы не могут быть переадресованы, что нам нужно сделать, чтобы получить пользователей из доверенного домена A в контроллер домена B, чтобы учетная запись службы могла ссылаться на них там?

amazon-web-services active-directory ldap ldap-query trust
person Rob Z    schedule 02.12.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Этот:

data 52e

Средство:

ERROR_LOGON_FAILURE

1326 (0x52E)

Имя пользователя или пароль неверны.

Вы сказали, что учетная запись службы принадлежит домену A, но вы подключаетесь к домену B. Это будет работать, только если между двумя доменами существует хотя бы одностороннее доверие: если domainB доверяет domainA. Судя по вашему описанию, я не думаю, что это так. Если вы подключаетесь к domainB, вам необходимо пройти аутентификацию с учетной записью domainB.

И единственный способ переадресации - это доверие. Термин для этого - направление. Это может произойти, если между доменами существует доверие, и вы, например, попытаетесь подключиться к пользователю в одном домене при подключении к другому. Сервер вернет реферал, предлагающий вам подключиться к другому домену.

person Gabriel Luci    schedule 02.12.2019