有关Active和Open目录的互操作性的绝大多数问题都涉及让Mac客户端看到AD和授权。
我们想要做的是让Windows 7工作站完全针对开放目录进行authentication。 我们尝试将它设置为NT4型PDC,并且不能令人满意地工作。
我们尝试使用pGina和LDAP后端,这允许身份validation,但不支持授权,因此,如果我们挂载NFS共享,用户有权做任何他们该死的请。 对安全性不理想(实际上完全不能接受血腥)。
我们尝试使用Samba服务器(比Open Directory Server更新版本)作为中间服务器,以便了解OD服务器上的LDAP服务器,但使用Samba 4而不是v3。 那也行不通。 我们可以login,但无法登陆,如果我们这样做,我们享有与pGina相同的权利。 如果我们在Windows中右键单击装入的驱动器,并查看NFS UID,则返回-2,而不是正确的(映射的)UID。
所以我最终的计划是在Windows 2008R2虚拟机中使用Active Directory。 我想实现的是让Active Directory同步来自OpenDirectory的用户数据(只读就可以)。 这样,我们就可以将Windows 7客户端连接到一个“虚拟域”,实际上它只是从OD的LDAP中获取信息。
我发现的所有信息都是关于如何去其他方面。
有谁知道我们怎么能做到这一点?
你想做什么可能是可能的。 这取决于一些事情。 什么是中央身份证? 它是OpenDirectory吗? 同步工作的效果会有什么影响? (即在AD中pipe理用户是否可行并将其同步回OD?)您的股票在哪里存储? 有关系吗?
这可能需要大量的实验和testing,但是使用Centrify Express或者Likewise Open(虽然我认为现在已经重新命名了),您也许能够取得一定程度的成功。 正如你所说的那样,这些是为了让你的非Windows客户端对AD进行身份validation,而不是相反,但是鉴于你已经在考虑使用Wn2k8R2域控制器,所以这可能是要走的路。
我从来没有看到任何东西(除了活动目录),这将允许Windows身份validation以外的pGina和Novell。
NetIQ(以前的Novell)Identity Manager产品将完全按照您的要求进行操作 – 它将在中央用户存储区和AD和OD(我们的目的是“openldap”)之间进行同步。 https://www.netiq.com/products/identity-manager/
您也可以考虑使用eDirectory而不是OD或AD,因为它可以很好地与两种客户端(以及来自Novell Open Enterprise Server的Windows产品的域服务eDirectory可以假装为所有意图和目的的AD)配合使用。
这些将是更加稳定和可扩展的select,尽pipe它们是非自由的。