Ez továbbra sem tiszta. Szét kell választani a dolgokat.
Hol vannak nyilvántartva a felhasználók, az AD-ben, vagy az ERP-ben?
- Ha az előbbi (AD), akkor az ERP-ben csak azt kell beállítani, hogy honnan authentikáljon, a lehetőségek pl.:
- melyik domainből/realmből (pl. kerberos auth esetén) - ehhez fog kelleni, hogy az ERP-nek legyen egy SPN-je (service principal name) és egy keytab fájlja, amihez viszont tényleg léteznie kell machine accountként az AD-ben a linuxos gépnek - javasolt tool a msktutil, howto pedig pl. itt: http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
- melyik LDAP-ból (pl. LDAP auth esetén) - ezt megint lehet kétféleképpen is csinálni:
- lehet szükség arra, hogy legyen egy olyan felhasználó az AD-ben, amivel hozzáfér az ERP rendszer az AD-hez, ekkor az ERP ezzel a felhasználóval csatlakozik az AD-hez és ott lekérdezéseket csinál, pl. megkérdezni, hogy az ERP-be belépni szándékozó felhasználó létezik-e az AD-ben, oké-e a jelszava, megfelelő csoportnak tagja-e stb. (ez nagyon kevéssé valószínű eset, de láttam már olyan rendszert, ami LDAP-pal így működött együtt az authorizációs rész kapcsán)
- lehet, hogy a belépni kívánó felhasználó nevében próbál az ERP kapcsolódni az LDAP-hoz, ha sikerül, akkor authentikáltnak tekinti a felhasználót, ha nem sikerül, akkor meg nem - ebben az esetben nem kell az AD-be semmi
- Ha az utóbbi, akkor van egy felhasználói adatbázis az ERP-ben is, amit valamilyen módon karban kell tartani. A felhasználónevek kapcsán lehet:
- kézzel,
- az AD felé indított periodikus/triggerelt LDAP lekérdezésekkel (amely lekérdezésekhez legalább kétféleképpen (kerberos, LDAP bind külön userrel) lehet authentikálni)
A jelszavak kapcsán már kicsit keményebb dió a dolog - az AD-ben tudtommal nincs olyan mechanizmus, amivel ha az AD-ben megváltozik egy felhasználó jelszava, akkor az AD szól erről egy másik rendszernek (ha valaki tud ilyet, szóljon). Ugyanez a fordított irányban az ERP-től függően megoldható is lehet - beauthentikál a felhasználó, jelszót változtat, majd ugyanezt megteszi az AD-ben is.
Sokkal többet segíteni csak akkor tudunk szerintem, ha ezeket kideríted az ERP-d kapcsán...