我们的办公室已经几乎完全从Windows切换到Mac OS X,我们的本地服务器即将更换。 我们使用Active Directory基本上只是为了用户authentication。 我们正在考虑使用运行OS X Server的Mac Minireplace当前的Windows Server。 我还不太了解Open Directory,但它是否可以将身份validation请求委托给SAML v2身份validation提供程序? 我问,因为我们在一个能够充当SAML 2 IdP的pipe理系统中做了相当多的工作,并且我们已经设置了Google Apps来进行身份validation。 如果能够对本地networking资源进行身份validation,这也是非常有用的。
Open Directory有一个LDAP后端,所以你可以使用类似simplesamlphp的LDAP来获得你想要的。
但是,一些大的警告。
如果您对Windows Server体验感到满意,那么切换到OS X和Open Directory几乎没有什么令人信服的理由。 苹果已经做了很多工作,使OS X成为一个很好的Active Directory客户端。 有关广泛的概述,请参阅他们关于以下主题的白皮书:
山狮http://training.apple.com/pdf/wp_integrating_active_directory_ml.pdf
小牛http://training.apple.com/pdf/wp_integrating_active_directory_mav.pdf
从一个目录系统迁移到另一个目录系统是一个大项目,AD具有来自Microsoft的卓越供应商支持。 我说这是一个广泛使用这两种产品的系统pipe理员。 我已经部署的每一个开放目录版本早晚都有一个重要的错误。 我遇到的最后一个是Mountain Lion Server的LDAP身份validation错误,导致服务器在正常负载下每24小时发生一次崩溃。 解决方法是每小时重新启动服务的脚本。 真正的解决scheme直到小牛队被释放才会出现。 苹果从来没有承认任何发行说明中的错误,也没有正常的AppleCare。 为了得到任何帮助(在这种情况下,确认错误,我们的解决方法是正确的解决方法)来自企业AppleCare。
如果你真的想迁移到苹果服务器,那么企业支持合同是强制性的。 你可以在这里得到更多的信息:
http://www.apple.com/support/products/enterprise/ossupport.html
希望有所帮助。
如果您的AD环境使用Kerberos进行身份validation,那么原则上,从ADfunction移动到Kerberos服务器(例如MIT的krb5)和LDAP服务器的组合将可以工作(在Linux上运行)。 Mac OS X客户端支持Kerberos身份validation和SSO; Safari(和Chrome,Firefox)支持通过HTTP处理Kerberos身份validation的SPNEGO扩展。 OAuth2或SAML IdP是向用户提供外部服务提供商身份的机制(例如Google Apps)。