Как сделать LDAP авторизацию на веб-ресурсах с двумя контроллерами домена?

Question

[Денис Григоров]

Здравствуйте!
1) домен org.domain.ru - создан первым со своим лесом и т.д.
2) потом создан domain.ru также со своим лесом.
В организации есть ресурсы с LDAP авторизацией.
Как правильно организовать LDAP авторизацию -
=> Пользователь вводит в веб-форму логин и пароль -> проверка на domain.ru если нет такой пары, то на втором домене.
Либо настроить синхронизацию в одностороннем порядке лишь группы учеток с org.domain.ru на domain.ru
Переписывать в веб-форме ничего нельзя.

Answer 1

[Денис Григоров]

Разобрался!
Для того, чтобы веб-приложение работало с несколькими доменами, необходимо настраивать доступ к глобальному каталогу по порту 3268.
ldap://domain.ru:3128/
Подробнее тут
А также тут

Answer 2

[Роман Безруков]

Поднимите доверие между лесами и проверьте...

Comments

[Денис Григоров]

Поднял - а как теперь добавить пользователя с домена org.domain.ru в группу на домене domain.ru

[Роман Безруков]

Денис Григоров, доверие двустороннее?
Группа универсальная?

[Денис Григоров]

Роман Безруков, Доверие двухстороннее, группы глобальные, локальные и универсальные.
Когда пытаюсь добавить принудительно в группу с одного домена в другой BuilIn - "Вы не имеете разршений на изменение прав" ....

[Денис Григоров]

Роман Безруков, Локальные группы не видно в дереве, но они находятся при добавлении пользователя - правда потом ошибка "У вас нет прав на изменение ..." а вот глобальные группы и универсальные не находятся в другом домене