Bergabunglah dengan ActiveDirectory (Menangkan 2k8R2) ke OpenDirectory (Snow Leopard)

Sebagian besar pertanyaan dan sebagainya mengenai interoperabilitas direktori Aktif dan Terbuka melibatkan membuat klien Mac melihat AD dan auth menentangnya.

Apa yang ingin kami lakukan adalah mendapatkan workstation Windows 7 untuk sepenuhnya terhadap Open Directory. Kami mencoba mengaturnya sebagai tipe PD4 NT4, dan itu tidak berhasil.

Kami mencoba menggunakan pGina dan backend LDAP, yang memungkinkan Otentikasi, tetapi tidak memiliki dukungan untuk Otorisasi, dan sebagai hasilnya, jika kami memasang NFS Share, pengguna memiliki hak untuk melakukan apa pun yang mereka inginkan dengan baik. Tidak ideal untuk keamanan (Benar-benar tidak bisa diterima, sebenarnya).

Kami mencoba menggunakan server Samba (versi yang lebih baru daripada di Open Directory Server) sebagai perantara, sehingga ia tahu tentang server LDAP di OD Server, tetapi menggunakan Samba 4 alih-alih v3. Itu juga tidak berhasil. Kami bisa masuk, tetapi tidak bisa memasang, dan jika kami melakukannya, kami memiliki hak yang sama dengan pGina. Jika kita klik kanan drive terpasang di Windows, dan melihat NFS UID, itu mengembalikan -2, bukan UID yang benar (dipetakan).

Jadi rencana terakhir yang saya dapatkan adalah menggunakan Active Directory, di dalam Mesin Virtual Windows 2008R2. Yang ingin saya capai adalah memiliki sinkronisasi Active Directory data pengguna dari OpenDirectory (read-only akan baik-baik saja). Dengan begitu, kita akan memiliki kemampuan untuk menghubungkan klien Windows 7 ke "domain virtual" yang sebenarnya hanya akan mengambil informasi dari LDAP OD.

Semua informasi yang saya temukan adalah tentang bagaimana menuju ke arah lain.

Adakah yang tahu bagaimana kita bisa melakukan ini?

Apa yang ingin Anda lakukan dimungkinkan. Itu tergantung pada beberapa hal. Apa itu toko identitas pusat? Apakah itu OpenDirectory? Dan apa dampaknya jika sinkronisasi bekerja terbalik? (yaitu apakah mungkin untuk mengelola pengguna dalam AD dan menyinkronkannya kembali ke OD?) Di mana bagian Anda disimpan? Apakah itu penting?

Ini mungkin akan memerlukan eksperimen dan pengujian yang substansial, tetapi Anda mungkin dapat mencapai beberapa tingkat keberhasilan menggunakan Centrify Express atau Likewise Open (walaupun saya pikir itu telah diubah namanya sekarang). Seperti yang telah Anda nyatakan ini ditujukan untuk mendapatkan klien non-Windows Anda untuk mengautentikasi terhadap AD sebagai lawan dari sebaliknya, tetapi mengingat Anda telah mempertimbangkan untuk menggunakan pengontrol domain Wn2k8R2, ini mungkin cara yang harus dilakukan.

Saya belum pernah melihat apa pun (selain Active Directory) yang memungkinkan Windows untuk mengotentikasi selain pGina dan Novell.

NetIQ (sebelumnya Novell) produk Identity Manager akan melakukan persis seperti yang Anda minta - itu akan menyinkronkan antara toko pengguna pusat dan AD dan OD (yang untuk tujuan kami akan menjadi "openldap"). https://www.netiq.com/products/identity-manager/

Anda mungkin juga mempertimbangkan untuk menggunakan eDirectory daripada OD atau AD karena dapat bekerja dengan baik dengan kedua jenis klien (dan dengan Layanan Domain untuk Produk Windows dari Novell Open Enterprise Server, eDirectory dapat berpura-pura menjadi AD untuk semua maksud dan tujuan).

Ini akan menjadi pilihan yang lebih stabil dan dapat diperluas, meskipun tidak bebas.