OpenLDAP的代理服务可以帮助你整合Active Directory（AD）和OpenLDAP，从而对使用OpenLDAP的LDAP 应用程序的AD 用户进行身份验证，或者为网络中的多个AD 提供访问。

      Active Directory（AD）和OpenLDAP在企业中都扮演着重要的角色。事实上，在同一个公司内部，你会发现UNIX团队在使用OpenLDAP，而LAN和Windows管理员则使用AD。然而，大多数人却无法完全通过OpenLDAP来访问AD架构。

      其实，OpenLDAP和AD是可以实现和平共处的——关键就在于找到一条让LDAP操作穿越AD和OpenLDAP部署边界的途径。一个可行的办法就是使用OpenLDAP的代理服务。为了验证这个代理服务，我会教你如何创建AD 的“cn=Users”容器，它默认包含了所有用户对象以及部分OpenLDAP目录。

      术语和版本
      在继续讲解之前，先让我们来定义一些术语。首先，一台LDAP服务器一般指的就是一个目录服务代理（DSA）。第二，一个DSA负责管理一个目录信息树（DIT）的一部分或全部。多个DSA可以被部署为管理整个DIT，并且允许复制和高可用性。受DSA管理的那部分DIT或者被叫做一个分区，或者被叫做一个数据库。我习惯于把它叫做数据库。

      为了生成本文的范例，我使用了CentOS 4.3、OpenLDAP2.2.13以及运行在一台Windows Server 2003 R2服务器上的AD。在下文中，我将向你展示普通OpenLDAP 2.2部署的一个限制，你可以通过在CentOS 4.3上安装OpenLDAP 2.3来解决这个问题。（对于CentOS 4.3，我使用的是RPMS，你可以去以下地址下载：dev.centos.org/centos/4/testing/i386/RPMS/。）安装指南见附文“在CentOS上升级OpenLDAP”。

…
     上述内容选自《Windows IT Pro Magazine国际中文版》2008年第7期，更多精彩内容，敬请参阅这儿，订阅《Windows IT Pro Magazine国际中文版》，请点击这儿。

      关于作者

      Dustin Puryear，是一名顾问，专门提供UNIX和Windows系统管理与集成方面的专业知识和服务。他是《Linux 和UNIX 服务器管理最佳实践》（Windows IT Pro eBooks）一书的作者。你可以通过dustin@puryear-it.com与他联系。

全文共1728字节