Подавляющее большинство вопросов и т. Д. Относительно взаимодействия каталогов Active и Open связаны с тем, чтобы клиенты Mac увидели AD и авторизовались против него.
Что мы хотели бы сделать, так это заставить рабочую станцию Windows 7 полностью аутентифицироваться в Open Directory. Мы пробовали настроить его как PDC типа NT4, но это не сработало.
Мы пробовали использовать pGina и бэкэнд LDAP, который позволяет аутентификацию, но не поддерживает авторизацию, и в результате, если мы монтируем общий ресурс NFS, у пользователя есть права делать все, что они чертовски хорошо хотят. Не идеально для безопасности (вообще-то, чертовски неприемлемо).
Мы пробовали использовать сервер Samba (более новая версия, чем на сервере Open Directory Server) в качестве промежуточного, чтобы он знал о сервере LDAP на сервере OD, но использовал Samba 4 вместо v3. Это тоже не сработало. Мы могли войти в систему, но не могли подключиться, и если мы это сделали, у нас были те же права, что и с pGina. Если щелкнуть правой кнопкой мыши подключенный диск в Windows и посмотреть на NFS UID, он вернет -2, а не правильный (сопоставленный) UID.
Итак, мой последний план - использовать Active Directory внутри виртуальной машины Windows 2008R2. Я хочу добиться того, чтобы Active Directory синхронизировала свои пользовательские данные с OpenDirectory (подойдет только чтение). Таким образом, у нас будет возможность подключать клиентов Windows 7 к «виртуальному домену», который фактически просто получает информацию из LDAP OD.
Вся информация, которую я нашел, касается того, как пойти другим путем.
Кто-нибудь знает, как это сделать?
То, что вы хотите сделать, возможно. Однако это зависит от нескольких вещей. Что такое центральное хранилище идентичности? Это OpenDirectory? И каков будет эффект, если синхронизация будет работать в обратном направлении? (т.е. возможно ли управлять пользователями в AD и выполнять синхронизацию с OD?) Где будут храниться ваши общие ресурсы? Это имеет значение?
Это, вероятно, потребует значительных экспериментов и тестирования, но вы можете достичь определенного уровня успеха с помощью Centrify Express или Likewise Open (хотя я думаю, что теперь он был переименован). Как вы заявили, они ориентированы на то, чтобы ваши клиенты, отличные от Windows, аутентифицировались в AD, а не наоборот, но, поскольку вы уже рассматриваете возможность использования контроллера домена Wn2k8R2, это может быть подходящим вариантом.
Продукт NetIQ (ранее Novell) Identity Manager будет делать именно то, что вы просили - он будет синхронизироваться между центральным хранилищем пользователей и AD и OD (что для наших целей будет «openldap»). https://www.netiq.com/products/identity-manager/
Вы также можете рассмотреть возможность использования eDirectory вместо OD или AD, поскольку он может прекрасно работать с обоими типами клиентов (а с продуктами доменных служб для Windows от Novell Open Enterprise Server eDirectory может претендовать на роль AD для всех намерений и целей).
Это были бы более стабильные и расширяемые варианты, хотя они и платные.
Я никогда не видел ничего (кроме Active Directory), которое позволяло бы Windows аутентифицировать, кроме pGina и Novell.