多LDAP配置问题

大家好，在公司的内部环境中存在微软的AD域，由于子公司的存在，所以是单林多域。

根域、子域分别部署，比如根域是  aaa.com   子域是： bbb.com

现在在sslvpn上配置LDAP，在LDAP认证服务器上只连接　aaa.coｍ域控的时候，配置好相关的权限。

此域用户能正常登录vpn。

增加新的ldap服务器　bbb.com

现在的问题是，此2个域中存在同名的用户时，某公司vpn在登录的时候判断不出来是使用哪一个ldap服务器验证。

如何设置能让某公司vpn支持多ldap服务器验证？且兼容不同中的ldap服务器中存在同名用户的情况。

你的意思是设备里面添加了两个ldap服务器？如果是这样的话 设备和两台服务器通信是无法设置优先级的，会同时和两台服务器通信 哪台服务器先响应匹配哪台服务器里面的用户信息....
这个是好早之前和某公司那边确认过的

首先感谢你的回复。
但是我觉得你的回复不正确，不是哪个先响应就匹配哪一个，在某公司的sslvpn设置中有个优先级设置的菜单，具体为：

所以，我们先在LDAP认证服务器中配置为多服务器验证

然后可以修改验证的优先级顺序

用户在登录的时候就按照这个优先级进行验证。

但是，如果在多个LDAP的服务器上存在同名的用户，系统只会匹配到第一个LDAP上。

个人感觉这是一个BUG，而且性能上也有问题，一个一个按顺序匹配太浪费资源。

提个建议，请某公司的技术工程师参考：

1.增加LDAP认证服务器上的时候，增加一个字段“认证域”。不同的LDAP认证服务器可以设置相同的认证域，或者不同的认证域均可。

2.用户登录界面，除了用户名和密码文本框之外，增加一个“认证域”的文本框、或者是下拉选择框。根据用户登录时选择的认证域，则选择相同认证域的一个或者多个LDAP服务器做验证。

采用以上方法的话，既解决了多域相同用户名的问题，又能提升认证效率，请参考。

您好 上面“你猜啊”说的是比较早期的时候；后来的版本这个地方确实有做修改；

感谢您的建议，关于产品建议请我们研发同事回复

谢谢

另外，"认证域“这个字段，也可以和访问的域名挂钩，sslvpn这台设备的IP由多个域名指向过来。
如果 vpn.aaa.com  访问，则自动使用 aaa.com 这个认证域的ldap验证
如果 vpn.bbb.com  访问，则自动使用 bbb.com 这个认证域的ldap验证

新手055539 这个回答是正确的。