2
使用Active Directory的很長一段時間公司的Active Directory。以前,管理員將Domain Users Group添加到許多具有讀取權限的資源中。改變這一切是不現實的。
服務,在這種情況下,使用LDAP進行身份驗證的GitHub:Enterprise實例已引入與其他公司的合作項目。
問題
創建AD佔外部用戶使他們獲得他們不應該訪問的資源。如果我們不爲他們創建AD帳戶,他們將無法訪問新服務。
有沒有一種方法來創建一種「裝飾」代理的廣告中有一些本地用戶(外部人)和原指公元分貝爲其他用戶(員工)?
還有哪些方法可以解決訪問權限問題?
可以通過Windows或Linux設置額外的VM來解決問題;然而,如果這不是必需的,那將是更可取的。
但是,我怎麼能保持例如密碼已同步?有一項政策強制密碼每隔x天更改一次,因此應該反映這一點。如果我們使用OpenLDAP,如何在不能看到用戶的AD密碼的情況下同步這些內容? – Wilbert 2013-03-11 13:58:16
我做+1但不接受這個答案,因爲我無法理解這將如何解決我的問題。請詳細說明。 – Wilbert 2013-03-12 11:02:00
使用SAML,您不會擁有「局外人」的密碼。 SAML將需要一個「局外人」來向您信任的身份提供商進行身份驗證。然後用戶將被允許訪問。 Google SAML。 – jwilleke 2013-03-12 14:48:18