Наш офис почти полностью перешел с Windows на Mac OS X, и наш локальный сервер подлежит замене. Мы используем Active Directory в основном только для аутентификации пользователей. Мы рассматриваем возможность замены текущего Windows Server на Mac Mini под управлением OS X Server. Я еще мало знаю об Open Directory, но возможно ли, чтобы он отправлял запросы аутентификации через прокси к провайдеру идентификации SAML v2? Я спрашиваю, потому что мы довольно много работаем над системой управления, которая способна действовать как IdP SAML 2, и мы настроили Google Apps для аутентификации против нее. Было бы чрезвычайно полезно иметь возможность аутентифицировать ресурсы локальной сети против него.
Open Directory имеет бэкэнд LDAP, поэтому вы можете использовать что-то вроде simplesamlphp с LDAP, чтобы получить то, что вы хотите.
Однако есть несколько серьезных оговорок.
Если вам нравится работать с Windows Server, у вас очень мало веских причин для перехода на OS X и Open Directory. Apple приложила много усилий, чтобы сделать OS X хорошим клиентом Active Directory. Для более широкого обзора см. Их официальные документы по теме:
Горный лев http://training.apple.com/pdf/wp_integrating_active_directory_ml.pdf
Mavericks http://training.apple.com/pdf/wp_integrating_active_directory_mav.pdf
Переход с одной системы каталогов на другую - большой проект, и у AD есть превосходная поддержка со стороны Microsoft. Я говорю это как системный администратор, который широко использовал оба продукта. В каждой развернутой мной версии Open Directory рано или поздно обнаруживалась значительная ошибка. Последней, с которой я столкнулся, была ошибка в аутентификации LDAP Mountain Lion Server, которая вызвала сбой сервера каждые ~ 24 часа при нормальной нагрузке. Обходным путем был сценарий, который перезапускал службу каждый час. Настоящего решения проблемы не было, пока не был выпущен Mavericks. Ни Apple, ни AppleCare никогда не указывали на ошибку ни в каких примечаниях к выпуску. Чтобы получить любую помощь (в данном случае признание ошибки и то, что наш обходной путь был правильным обходным путем) пришел от корпоративной AppleCare.
Если вы действительно хотите перейти на сервер Apple, контракт на корпоративную поддержку является обязательным. Вы можете получить более подробную информацию здесь:
http://www.apple.com/support/products/enterprise/ossupport.html
Надеюсь, это поможет.
Если ваша среда AD использует Kerberos для аутентификации, то, в принципе, подойдет переход от функций AD к комбинации сервера Kerberos (например, krb5 MIT) и сервера LDAP (работающего в Linux). Клиенты Mac OS X поддерживают аутентификацию Kerberos и единый вход; Safari (и Chrome, Firefox) поддерживают расширение SPNEGO для обработки аутентификации Kerberos через HTTP. OAuth2 или SAML IdP - это механизм для подтверждения личности ваших пользователей внешним поставщикам услуг (например, Google Apps).