У нас есть организационный домен Windows xxx.org, который предоставляет DHCP, шлюз, сеть, Winbind, брандмауэр и т. Д. На удаленном сайте у нас есть другой домен yyy.org, которым мы управляем и контролируем. В настоящее время все пользователи на удаленном сайте как часть родительского домена входят в систему и проходят аутентификацию соответственно.
Строго для целей создания и аутентификации пользователей с использованием конструкции электронной почты, т.е. name@yyy.org, мы настраиваем сервер ubuntu 14.04 с Samba 4.1 Active Directory. Samba AD позволяет нам создавать пользователей с помощью электронной почты. Мы надеемся, что тогда мы сможем использовать единый вход для служб, требующих входа в систему с помощью электронной почты.
Проблема заключается в том, чтобы клиент Windows присоединился к домену yyy.org. Мы устанавливаем IP-адрес DNS, указывающий на samba AD, и меняем домен компьютеров на yyy.org. Но клиент по-прежнему привязывается к родительскому домену.
Ранее, в процессе экспериментов, мы настраивали Ubuntu для обслуживания DHCP, и привязка клиента к yyy.org была успешной. Возможно, нам придется сделать это снова, я не уверен. Как мы сказали в первом посте, у нас ограниченные знания. И, конечно же, мы хотим, чтобы это было без стыков с родительским доменом.
да, должна быть возможность получить SSO для клиентов Windows и Mac с помощью Samba 4, и пока сервер находится в той же сети, вам не придется вносить изменения в брандмауэр. Если вам нужно иметь серверы в другой сети, есть большая вероятность, что вам придется открыть дополнительные порты.
Chromebook не так просто интегрировать. Здесь у вас есть двухэтапный процесс. Сначала вам нужно подключить свой сервер к Google Apps с помощью инструмента Google Apps Sync. https://support.google.com/a/answer/6123891 , это позволяет синхронизировать данные пользователя, а затем прикреплять приложения Google к серверу, используя SAML для аутентификации по паролю. После этого любая служба приложений Google будет использовать данные, которые вы предоставили в систему.
Что касается домена, используйте неиспользуемый поддомен yyy.org, например internal.yyy.org или что-то подобное. Таким образом, ваш внутренний DNS не будет блокировать какие-либо внешние веб-сайты, и вы можете быть уверены, что никто не зарегистрирует или не изменит назначение вашего домена, как это произошло с .local.
Если у вас ограниченные технические навыки, я бы посоветовал взглянуть на бесплатные корпоративные дистрибутивы, которые поставляются с интерфейсом управления и протестированы для этой цели, такие как Univention's UCS Core Edition. Обычно это упрощает настройку и администрирование.