扩展 secldap 的功能以验证多个数据源

核心提示： 有时 Tivoli Directory Server 必须支持用户包含在另一个目录服务器中，将用户从另一个目录迁移到 Tivoli Directory Server 是一种可能的解决方案，扩展 secldap 的功能以验证多个数据源(2)，但这个解决方案不仅耗时，而且我们还需要考虑单一 Tivo

有时 Tivoli Directory Server 必须支持用户包含在另一个目录服务器中。将用户从另一个目录迁移到 Tivoli Directory Server 是一种可能的解决方案。但这个解决方案不仅耗时，而且我们还需要考虑单一 Tivoli Directory Server 的可伸缩性，它必须能够迅速处理增加的负载。在两个不同的目录中保留用户会占用大量空间，而且保持两个目录中的用户同步也是另一项管理开销。除了这些可伸缩性和内存使用问题，现有应用程序的兼容性也需要处理。将所有现有应用程序迁移到新 LDAP 服务器无法在短期内完成，而且使用新 LDAP 服务器配置升级的应用程序通常需要很长时间。

为了解决这个 secldap 限制，本文介绍 Tivoli Directory Server 中的直通（pass-through）身份验证功能的用法。此功能自 Tivoli Directory Server V6.1 就已引入，我们将使用 Tivoli Directory Server V6.2 来演示我们的示例安装。

直通身份验证的概念背景

Tivoli Directory Server 为存储在其目录中的用户提供用户身份验证。使用 Tivoli Directory Server 且正在查找身份验证信息的任何客户端都需要绑定到正确的 Tivoli Directory Server，以检索身份验证信息。用户必须使用它的密码成功地绑定到该目录，才能获得对后续 LDAP 操作的授权。Tivoli Directory Server 默认仅支持对本地用户（也就是本地目录中包含的用户）进行身份验证。

直通身份验证机制支持客户端绑定到一个目录服务器，即使用户凭据无法在本地获得。使用此机制，服务器代表客户端尝试验证来自另一个外部目录服务器或一个直通服务器的凭据。这里的凭据指的是 Tivoli Directory Server 中的 userpassword 属性。

成功直通身份验证的重要注意事项：