%20%E6%B7%BB%E5%8A%A0%E5%88%B0%20OpenDirectory%20(Snow%20Leopard).png)
关于 Active 和 Open 目录互操作性的绝大多数问题等等都涉及让 Mac 客户端查看 AD 并对其进行身份验证。
我们想要做的是让 Windows 7 工作站完全针对 Open Directory 进行身份验证。我们尝试将其设置为 NT4 类型的 PDC,但效果并不令人满意。
我们尝试使用 pGina 和 LDAP 后端,它允许身份验证,但不支持授权,因此,如果我们安装 NFS 共享,用户就有权做任何他们想做的事情。这对安全性来说并不理想(实际上,完全不可接受)。
我们尝试使用 Samba 服务器(比 Open Directory Server 上的版本更新)作为中间层,以便它了解 OD Server 上的 LDAP 服务器,但使用 Samba 4 而不是 v3。这也不起作用。我们可以登录,但无法挂载,如果我们挂载了,我们拥有与 pGina 相同的权限。如果我们在 Windows 中右键单击已挂载的驱动器,并查看 NFS UID,它会返回 -2,而不是正确的(映射的)UID。
因此,我最终的计划是在 Windows 2008R2 虚拟机中使用 Active Directory。我想要实现的是让 Active Directory 从 OpenDirectory 同步其用户数据(只读也可以)。这样,我们就可以将 Windows 7 客户端连接到“虚拟域”,而该域实际上只会从 OD 的 LDAP 中获取信息。
我找到的所有信息都是关于如何走另一条路的。
有人知道我们怎样才能做到这一点吗?
答案1
您想要做的事情可能是可行的。不过这取决于一些因素。中央身份存储是什么?是 OpenDirectory 吗?反向同步会产生什么影响?(即,在 AD 中管理用户并将同步回 OD 是否可行?)您的共享存储在哪里?这重要吗?
这可能需要大量的实验和测试,但使用 Centrify Express 或 Likewise Open(虽然我认为现在已经重命名)可能能够取得一定程度的成功。正如您所说的,这些旨在让您的非 Windows 客户端针对 AD 进行身份验证,而不是相反,但鉴于您已经在考虑使用 Wn2k8R2 域控制器,这可能是可行的方法。
答案2
除了 pGina 和 Novell 之外,我从未见过任何东西(Active Directory 除外)允许 Windows 进行身份验证。
答案3
NetIQ(以前称为 Novell)Identity Manager 产品将完全按照您的要求执行操作 - 它将在一个中央用户存储和 AD 与 OD(就我们的目的而言为“openldap”)之间进行同步。 https://www.netiq.com/products/identity-manager/
您可能还会考虑使用 eDirectory 而不是 OD 或 AD,因为它可以很好地与这两种客户端配合使用(并且借助 Novell Open Enterprise Server 的 Windows 域服务产品,eDirectory 可以在所有意图和目的上假装是 AD)。
尽管它们不是免费的,但它们将是更稳定和可扩展的选项。