將 ActiveDirectory (Win 2k8R2) 加入 OpenDirectory(Snow Leopard)
關於 Active 和 Open 目錄的互操作性的絕大多數問題等都涉及讓 Mac 客戶端查看 AD 並針對它進行身份驗證。
我們想做的是讓 Windows 7 工作站完全針對 Open Directory 進行身份驗證。我們嘗試將其設置為 NT4 類型的 PDC,但效果並不理想。
我們嘗試使用 pGina 和 LDAP 後端,它允許身份驗證,但不支持授權,因此,如果我們掛載 NFS 共享,使用者有權做任何他們該死的事。不適合安全(實際上完全不可接受)。
我們嘗試使用 Samba 伺服器(比 Open Directory Server 上的新版本)作為中間體,以便它知道 OD 伺服器上的 LDAP 伺服器,但使用 Samba 4 而不是 v3。那也沒有用。我們可以登錄,但不能掛載,如果我們這樣做了,我們就擁有與 pGina 相同的權限。如果我們在 Windows 中右鍵點擊已安裝的驅動器,並查看 NFS UID,它會返回 -2,而不是正確的(映射的)UID。
所以我的最終計劃是在 Windows 2008R2 虛擬機中使用 Active Directory。我想要實現的是讓 Active Directory 從 OpenDirectory 同步它的使用者數據(只讀就可以了)。這樣,我們就有能力將 Windows 7 客戶端連接到“虛擬域”,該“虛擬域”實際上只是從 OD 的 LDAP 中獲取資訊。
我找到的所有資訊都是關於如何走另一條路。
有誰知道我們該怎麼做?
你想做的事情可能是可能的。不過,這取決於幾件事。什麼是中央身份儲存?是開放目錄嗎?反向同步工作會有什麼影響?(即在 AD 中管理使用者並將同步回 OD 是否可行?)您的共享儲存在哪裡?有關係嗎?
這可能需要大量的實驗和測試,但您可能能夠使用 Centrify Express 或 Like Open 取得一定程度的成功(儘管我認為現在已經更名了)。正如您所說,這些旨在讓您的非 Windows 客戶端針對 AD 進行身份驗證,而不是相反,但是看到您已經在考慮使用 Wn2k8R2 域控制器,這可能是要走的路。