Iscriviti a ActiveDirectory (Win 2k8R2) su OpenDirectory (Snow Leopard)

La stragrande maggioranza delle domande e così via sull'interoperabilità delle directory Active e Open implica che i client Mac vedano un annuncio e un'autorizzazione contro di esso.

Quello che vorremmo fare è ottenere una workstation Windows 7 per l'autenticazione completa con Open Directory. Abbiamo provato a configurarlo come un PDC di tipo NT4 e non funziona in modo soddisfacente.

Abbiamo provato a utilizzare pGina e il backend LDAP, che consente l'autenticazione, ma non ha supporto per l'autorizzazione e, di conseguenza, se montiamo una condivisione NFS, l'utente ha i diritti di fare qualsiasi cosa dannatamente bene, per favore. Non ideale per la sicurezza (totalmente inaccettabile, in realtà inaccettabile).

Abbiamo provato a utilizzare un server Samba (versione più recente rispetto a Open Directory Server) come intermedio, in modo che sia a conoscenza del server LDAP sul server OD, ma utilizza Samba 4 anziché v3. Neanche quello ha funzionato. Potremmo effettuare il login, ma non possiamo montare, e se lo facessimo, avremmo gli stessi diritti di pGina. Se facciamo clic con il pulsante destro del mouse sull'unità montata in Windows e diamo un'occhiata all'UID NFS, restituisce -2, non l'UID corretto (mappato).

Quindi il piano finale che ho è di utilizzare un Active Directory, all'interno di una macchina virtuale Windows 2008R2. Quello che voglio ottenere è che Active Directory sincronizzi i suoi dati utente da OpenDirectory (sola lettura andrebbe bene). In questo modo, avremmo la possibilità di connettere i client Windows 7 a un "dominio virtuale" che in realtà catturerebbe informazioni dal LDAP di OD.

Tutte le informazioni che ho trovato riguardano come andare dall'altra parte.

Qualcuno sa come possiamo farlo?

Quello che vuoi fare potrebbe essere possibile. Dipende da alcune cose però. Cos'è l'archivio identità centrale? È OpenDirectory? E quale sarebbe l'impatto nel far funzionare la sincronizzazione al contrario? (cioè è possibile gestire gli utenti in AD e sincronizzarli nuovamente con OD?) Dove devono essere archiviate le condivisioni? Importa?

Ciò richiederà probabilmente una sperimentazione e un test sostanziali, ma potresti essere in grado di raggiungere un certo livello di successo usando Centrify Express o Likewise Open (anche se penso che sia stato rinominato ora). Come hai affermato, questi sono orientati a far sì che i tuoi client non Windows eseguano l'autenticazione rispetto ad Active Directory al contrario, ma visto che stai già considerando di utilizzare un controller di dominio Wn2k8R2, questa potrebbe essere la strada da percorrere.

Non ho mai visto nulla (oltre ad Active Directory) che consentisse a Windows di autenticarsi diverso da pGina e Novell.

Il prodotto NetIQ (precedentemente Novell) Identity Manager farà esattamente come richiesto: si sincronizzerà tra un archivio utenti centrale e AD e OD (che per i nostri scopi sarebbe "openldap"). https://www.netiq.com/products/identity-manager/

Si potrebbe anche considerare l'utilizzo di eDirectory invece di OD o AD in quanto può funzionare perfettamente con entrambi i tipi di client (e con i prodotti Domain Services for Windows di Novell Open Enterprise Server, eDirectory può pretendere di essere AD a tutti gli effetti).

Queste sarebbero le opzioni più stabili ed espandibili, sebbene non siano libere.