Verbinden Sie ActiveDirectory (Win 2k8R2) mit OpenDirectory (Snow Leopard)

Die überwiegende Mehrheit der Fragen usw. zur Interoperabilität von Active- und Open-Verzeichnissen besteht darin, Mac-Clients dazu zu bringen, ein AD zu sehen und sich dagegen zu authentifizieren.

Wir möchten, dass eine Windows 7-Workstation vollständig gegen Open Directory autorisiert wird. Wir haben versucht, es als NT4-PDC einzurichten, und das funktioniert nicht zufriedenstellend.

Wir haben versucht, pGina und das LDAP-Backend zu verwenden, das die Authentifizierung ermöglicht, aber keine Autorisierung unterstützt. Wenn wir also eine NFS-Freigabe bereitstellen, hat der Benutzer das Recht, alles zu tun, was ihm verdammt gut gefällt. Nicht ideal für die Sicherheit (eigentlich völlig inakzeptabel).

Wir haben versucht, einen Samba-Server (neuere Version als auf dem Open Directory-Server) als Zwischenprodukt zu verwenden, damit er über den LDAP-Server auf dem OD-Server Bescheid weiß, aber Samba 4 anstelle von Version 3 verwendet. Das hat auch nicht funktioniert. Wir konnten uns anmelden, aber nicht mounten, und wenn wir das taten, hatten wir die gleichen Rechte wie bei pGina. Wenn wir in Windows mit der rechten Maustaste auf das bereitgestellte Laufwerk klicken und uns die NFS-UID ansehen, wird -2 zurückgegeben, nicht die richtige (zugeordnete) UID.

Der letzte Plan, den ich habe, ist die Verwendung eines Active Directory in einer virtuellen Windows 2008R2-Maschine. Was ich erreichen möchte, ist, dass Active Directory die Benutzerdaten von OpenDirectory synchronisiert (schreibgeschützt wäre in Ordnung). Auf diese Weise hätten wir die Möglichkeit, Windows 7-Clients mit einer "virtuellen Domäne" zu verbinden, die tatsächlich nur Informationen aus dem LDAP von OD abruft.

Alle Informationen, die ich gefunden habe, beziehen sich darauf, wie man in die andere Richtung geht.

Weiß jemand, wie wir das machen können?

Was Sie tun möchten, ist möglicherweise möglich. Es hängt jedoch von ein paar Dingen ab. Was ist der zentrale Identitätsspeicher? Ist es OpenDirectory? Und wie würde es sich auswirken, wenn die Synchronisierung umgekehrt funktioniert? (dh ist es möglich, Benutzer in AD zu verwalten und diese Synchronisierung wieder mit OD durchzuführen?) Wo sollen Ihre Freigaben gespeichert werden? Ist das wichtig?

Dies erfordert wahrscheinlich umfangreiche Experimente und Tests, aber Sie können möglicherweise mit Centrify Express oder Ebenso Open ein gewisses Maß an Erfolg erzielen (obwohl ich denke, dass dies jetzt umbenannt wurde). Wie Sie bereits erwähnt haben, zielen diese darauf ab, Ihre Nicht-Windows-Clients dazu zu bringen, sich bei AD zu authentifizieren, und nicht umgekehrt. Da Sie jedoch bereits die Verwendung eines Wn2k8R2-Domänencontrollers in Betracht ziehen, ist dies möglicherweise der richtige Weg.

Ich habe noch nie etwas gesehen (außer Active Directory), mit dem Windows sich anders als pGina und Novell authentifizieren kann.

Das NetIQ (früher Novell) Identity Manager-Produkt funktioniert genau so, wie Sie es gewünscht haben - es wird zwischen einem zentralen Benutzerspeicher und AD und OD synchronisiert (was für unsere Zwecke "openldap" wäre). https://www.netiq.com/products/identity-manager/

Sie können auch die Verwendung von eDirectory anstelle von OD oder AD in Betracht ziehen, da es mit beiden Arten von Clients problemlos funktioniert (und mit dem Domain Services für Windows-Produkt von Novell Open Enterprise Server kann eDirectory in jeder Hinsicht vorgeben, AD zu sein).

Dies wären die stabileren und erweiterbareren Optionen, obwohl sie nicht frei sind.