LDAP sur Active directory complexe
Bonjour,
Dans mon entreprise, multinationale, nous avons de multiples AD qui correspondent a peu près a des entités(le plus souvent des pays) différents.
Dans une logique d’accès international aux applications, le besoin s'est fait sentir de créer un AD global, relié par relation d'approbation aux autres AD.
Nous avons plusieurs applications web(entre autre) qui utilisait l'accés LDAP pour vérifier les mot de passe utilisateur à la connexion, qui fonctionne très bien dans le cadre d'un seul AD.
En revanche, dans le cas de l'AD global, nous pouvons uniquement interroger sur l'AD en lui même, mais pas sur les relations d'approbations.
Bref, pour nombre d'application web, cela nous pose des problème, puisque si une connexion LDAP est le plus souvent standart, ce n'est pas vraiment le cas pour kerberos par exemple. En plus, ca obligerai a ajouter tous les serveurs applicatifs dans les serveurs kerberos, ce qui demanderait énormément de travail.
L'idée est donc de monter une machine avec un serveur LDAP dessus, qui irait vérifier les login par connexion kerberos sur l'AD global, passant ainsi les relations d'approbations.
Le soucis, c'est que je ne trouve aucune documentation sur le net pour mettre ce genre de choses en place.
Les seuls choses que je trouve sont souvent obsolètes, ou le plus souvent, pour une relation dans l'autre sens.
Est ce que vous avez déjà vu ce genre de problème, et si oui, comment le résoudre.
Merci,
Pierre