不同domain controller設成同AD domain....

sso ad multi dc

cmwang 2017-08-19 21:38:52 ‧ 7354 瀏覽

鵝有user要透過AD做SSO,不同AD domain的話只要建好forest trust是沒問題的,但最近他們提出一個奇怪的須求,就是有兩台DC各自管理不同的client(假設是DC A和DC B好了),只是這兩台DC的AD domain是設成一樣的(但user database是各自獨立的,平常user也不會跨DC login,只是都會用到已經在DC A上註冊的Web A),user是說DC A和DC B已經建好forest trust了,但DC B的user無法透過SSO login Web A,鵝其實不熟Microsoft AD,請問一下這種狀況下DC A和DC B可以建forest trust嗎(以鵝的認知,應該是設成AD domain有multi DC,由系統將相同的內容replicate到所有DC上),還是說就別管DC A和DC B的信任關係了,而是直接在DC B上產生Web A的SPN,再import到Web A上,這樣DC B的user要連上Web A時是憑DC B簽發的Kerberos ticket,與DC A無關,有邦友可以指點一下嗎,Thanks!!

PS:鵝自己兜完LAB了,的確是由DC A和DC B分別產生keytab給Web A import,讓Web A同時在DC A和DC B上都有SPN,user憑各自的DC所簽發的ticket就可以SSO了....

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2017-08-21 10:37:34 檢舉

AD domain是設成一樣的 => 就是說兩個 DOMAIN 名字是一樣的，例如都叫 abc.local
如果是這樣，無解，因為SSO那裏無法判斷USER LOGIN 要找哪個 DC 做認證
建議是，兩台 AD 做合併，AD DB 合併後就會有兩邊原本的 USER 資料，這樣 SSO 不管找哪一台都能夠 LOGIN

cmwang iT邦大師 1 級 ‧ 2017-08-21 22:15:46 檢舉

謝了,鵝明天就自己把LAB兜起來(主要是分別在DC A和DC B上產生Web A的SPN,然後import到Web A上),不然等user端管AD的人確認他們的config不知要等到民國幾年就是了....

froce iT邦大師 1 級 ‧ 2017-08-22 17:40:52 檢舉

幹嘛一定要從AD動手，就依序檢查兩個AD裡面是不是有這個user，有就給他login，這樣不就結了？

cmwang iT邦大師 1 級 ‧ 2017-08-22 21:38:15 檢舉

謝了,主要是鵝手邊沒有搞coding的人(RD很忙,不想淌渾水),只好從現成的kerberos下手啊....

froce iT邦大師 1 級 ‧ 2017-08-23 08:25:45 檢舉

我是覺得這應該從web著手，因為客戶如果架構是這樣，那就一定有這樣搞的原因，做合併可能會產生額外的麻煩，這點一定要先弄清楚。

cmwang iT邦大師 1 級 ‧ 2017-08-23 09:03:29 檢舉

原因很簡單,就是搞不清楚狀況啊,官衙門裡負責管AD的人啥都不想負責,啥事都推給AD的外包商,外包商來了也是完全狀況外,連forest trust怎麼設,ktpass怎麼用都要鵝這個AD大外行找資料給他,那您說兜出來的東西會多正常啊.....

窮嘶發發發 iT邦高手 1 級 ‧ 2017-08-24 09:32:59 檢舉

從web著手比較快解決，不過WEB 的扣定要怎麼判斷那一個AD是一個問題，難道靠寫FQDN去判斷，萬一日後 AD 的 DC 異動，那你 WEB 這邊的查詢又要再改一次，個人想，會有兩個DN一樣的AD應該是當時開DN 沒注意到，有一樣的DN，開了之後才發現，又不想重工，所以直接讓兩個DN做信任，就結案了，但對後面用到 AD的服務會有很大的影響，所以個人才建議兩個DN一樣的AD做合併比較快，一次解決問題

登入發表討論