Подавляющее большинство вопросов и т. Д., Касающихся совместимости каталогов Active и Open, связаны с тем, чтобы клиенты Mac видели AD и выполняли аутентификацию против него.
Мы хотели бы, чтобы рабочая станция Windows 7 полностью аутентифицировалась в Open Directory. Мы попытались настроить его как PDC типа NT4, и это не работает удовлетворительно.
Мы попытались использовать pGina и бэкэнд LDAP, который разрешает аутентификацию, но не поддерживает авторизацию, и в результате, если мы смонтируем NFS-ресурс, у пользователя есть права на любые действия, которые ему нравятся. Не идеально для безопасности (на самом деле, чертовски неприемлемо).
Мы попытались использовать сервер Samba (более новую версию, чем на Open Directory Server) в качестве промежуточного звена, чтобы он знал о сервере LDAP на OD-сервере, но использовал Samba 4 вместо v3. Это тоже не сработало. Мы могли войти, но не смогли подключиться, и если бы мы это сделали, у нас были те же права, что и у pGina. Если мы щелкнем правой кнопкой мыши на смонтированном диске в Windows и посмотрим на UFS NID, он возвращает -2, а не правильный (сопоставленный) UID.
Итак, последний план, который у меня есть, - использовать Active Directory внутри виртуальной машины Windows 2008R2. Я хочу добиться того, чтобы Active Directory синхронизировала пользовательские данные из OpenDirectory (только для чтения). Таким образом, у нас будет возможность подключать клиентов Windows 7 к «виртуальному домену», который фактически будет просто получать информацию из LDAP OD.
Вся информация, которую я нашел, о том, как пойти другим путем.
Кто-нибудь знает, как мы можем это сделать?