Tham gia ActiveDirectory (Win 2k8R2) để OpenDirectory (Báo tuyết)

Phần lớn các câu hỏi, v.v. liên quan đến khả năng tương tác của các thư mục Active và Open liên quan đến việc khiến các máy khách Mac nhìn thấy một AD và auth chống lại nó.

Những gì chúng tôi muốn làm là để một máy trạm Windows 7 tự động xác thực hoàn toàn với Thư mục mở. Chúng tôi đã thử thiết lập nó dưới dạng PDC loại NT4 và điều đó không hoạt động tốt.

Chúng tôi đã thử sử dụng phụ trợ pGina và LDAP, cho phép Xác thực, nhưng không hỗ trợ Ủy quyền, và kết quả là, nếu chúng tôi gắn NFS Share, người dùng có quyền làm bất cứ điều gì họ làm tốt. Không lý tưởng cho bảo mật (Thực sự hoàn toàn không thể chấp nhận được).

Chúng tôi đã thử sử dụng máy chủ Samba (phiên bản mới hơn so với Máy chủ thư mục mở) làm trung gian, để nó biết về máy chủ LDAP trên Máy chủ OD, nhưng sử dụng Samba 4 thay vì v3. Điều đó cũng không hiệu quả. Chúng tôi có thể đăng nhập, nhưng không thể gắn kết và nếu có, chúng tôi có các quyền tương tự như với pGina. Nếu chúng ta bấm chuột phải vào ổ đĩa được gắn trong Windows và xem NFS UID, nó sẽ trả về -2, không phải là UID (ánh xạ) chính xác.

Vì vậy, kế hoạch cuối cùng tôi có là sử dụng Active Directory, bên trong Máy ảo Windows 2008R2. Những gì tôi muốn đạt được là để đồng bộ hóa Active Directory, đó là dữ liệu người dùng từ OpenDirectory (chỉ đọc sẽ ổn). Bằng cách đó, chúng tôi có khả năng kết nối các máy khách Windows 7 với một "miền ảo", thứ thực sự sẽ lấy thông tin từ LDAP của OD.

Tất cả thông tin tôi tìm thấy là về cách đi theo con đường khác.

Có ai biết làm thế nào chúng ta có thể làm điều này?

Những gì bạn muốn làm có thể có thể. Nó phụ thuộc vào một vài điều mặc dù. Các cửa hàng nhận dạng trung tâm là gì? Có phải OpenDirectory? Và điều gì sẽ là tác động trong việc đồng bộ hóa hoạt động ngược lại? (nghĩa là có khả thi để quản lý người dùng trong AD và đồng bộ hóa lại với OD không?) Cổ phần của bạn sẽ được lưu trữ ở đâu? Có vấn đề gì không?

Điều này có thể sẽ yêu cầu thử nghiệm và thử nghiệm đáng kể, nhưng bạn có thể đạt được một số mức độ thành công khi sử dụng Centrify Express hoặc Likewise Open (mặc dù tôi nghĩ rằng bây giờ đã được đổi tên). Như bạn đã nói, những điều này hướng đến việc giúp các máy khách không phải Windows của bạn xác thực với AD chứ không phải ngược lại, nhưng khi bạn đang cân nhắc sử dụng bộ điều khiển miền Wn2k8R2, đây có thể là cách tốt nhất.

Tôi chưa bao giờ thấy bất cứ điều gì (ngoài Active Directory) sẽ cho phép Windows xác thực ngoài pGina và Novell.

Sản phẩm Trình quản lý danh tính NetIQ (trước đây là Novell) sẽ thực hiện chính xác như bạn đã yêu cầu - nó sẽ đồng bộ giữa cửa hàng người dùng trung tâm và AD và OD (với mục đích của chúng tôi sẽ là "openldap"). https://www.netiq.com/products/identity-manager/

Bạn cũng có thể cân nhắc sử dụng eDirectory thay vì OD hoặc AD vì nó có thể hoạt động tốt với cả hai loại máy khách (và với Dịch vụ miền cho Sản phẩm Windows từ Novell Open Enterprise Server, eDirectory có thể giả vờ là AD cho mọi mục đích và mục đích).

Đây sẽ là các tùy chọn ổn định hơn và có thể mở rộng, mặc dù chúng không miễn phí.