Присоединиться к ActiveDirectory (Win 2k8R2) к OpenDirectory (Snow Leopard)

Подавляющее большинство вопросов и т. Д., Касающихся совместимости каталогов Active и Open, связаны с тем, чтобы клиенты Mac видели AD и выполняли аутентификацию против него.

Мы хотели бы, чтобы рабочая станция Windows 7 полностью аутентифицировалась в Open Directory. Мы попытались настроить его как PDC типа NT4, и это не работает удовлетворительно.

Мы попытались использовать pGina и бэкэнд LDAP, который разрешает аутентификацию, но не поддерживает авторизацию, и в результате, если мы смонтируем NFS-ресурс, у пользователя есть права на любые действия, которые ему нравятся. Не идеально для безопасности (на самом деле, чертовски неприемлемо).

Мы попытались использовать сервер Samba (более новую версию, чем на Open Directory Server) в качестве промежуточного звена, чтобы он знал о сервере LDAP на OD-сервере, но использовал Samba 4 вместо v3. Это тоже не сработало. Мы могли войти, но не смогли подключиться, и если бы мы это сделали, у нас были те же права, что и у pGina. Если мы щелкнем правой кнопкой мыши на смонтированном диске в Windows и посмотрим на UFS NID, он возвращает -2, а не правильный (сопоставленный) UID.

Итак, последний план, который у меня есть, - использовать Active Directory внутри виртуальной машины Windows 2008R2. Я хочу добиться того, чтобы Active Directory синхронизировала пользовательские данные из OpenDirectory (только для чтения). Таким образом, у нас будет возможность подключать клиентов Windows 7 к «виртуальному домену», который фактически будет просто получать информацию из LDAP OD.

Вся информация, которую я нашел, о том, как пойти другим путем.

Кто-нибудь знает, как мы можем это сделать?

То, что вы хотите сделать, возможно. Это зависит от нескольких вещей, хотя. Что такое центральный магазин идентификации? Это OpenDirectory? И как повлияет синхронизация в обратном направлении? (т. е. возможно ли управлять пользователями в AD и синхронизировать их с OD?) Где будут храниться ваши общие ресурсы? Это имеет значение?

Это, вероятно, потребует значительных экспериментов и тестирования, но вы можете достичь определенного уровня успеха, используя Centrify Express или Likewise Open (хотя я думаю, что он был переименован сейчас). Как вы заявили, они направлены на то, чтобы заставить ваших клиентов, не являющихся Windows, проходить аутентификацию в AD, а не наоборот, но, учитывая, что вы уже рассматриваете возможность использования контроллера домена Wn2k8R2, это может быть подходящим способом.

Я никогда не видел ничего (кроме Active Directory), которое позволило бы Windows аутентифицироваться, кроме pGina и Novell.

Продукт NetIQ (ранее Novell) Identity Manager будет работать именно так, как вы просили, - он будет синхронизировать между центральным хранилищем пользователей и AD и OD (что для наших целей будет «openldap»). https://www.netiq.com/products/identity-manager/

Вы можете также рассмотреть возможность использования eDirectory вместо OD или AD, поскольку он может прекрасно работать с обоими типами клиентов (а также с продуктом Domain Services for Windows от Novell Open Enterprise Server, eDirectory может претендовать на то, чтобы быть AD для всех намерений и целей).

Это были бы более стабильные и расширяемые варианты, хотя они не являются бесплатными.