web-dev-qa-db-ja.com

Active Directory(Win 2k8R2)をOpenDirectory(Snow Leopard)に参加させる

アクティブディレクトリとオープンディレクトリの相互運用性に関する質問などの大部分は、MacクライアントにADとそれに対する認証を表示させることを含みます。

私たちがやりたいのは、Windows7ワークステーションにOpenDirectoryに対して完全に認証させることです。 NT4タイプのPDCとして設定してみましたが、うまくいきません。

PGinaと認証を許可するLDAPバックエンドを使用してみましたが、承認はサポートされていません。その結果、NFS共有をマウントすると、ユーザーは気の毒なことを何でもする権利があります。セキュリティには理想的ではありません(実際には、まったく血まみれの容認できません)。

Sambaサーバー(Open Directoryサーバーよりも新しいバージョン)を中間として使用してみました。これにより、ODサーバー上のLDAPサーバーを認識しますが、v3ではなくSamba4を使用します。それもうまくいきませんでした。ログインはできましたが、マウントできませんでした。ログインした場合、pGinaと同じ権限がありました。 Windowsでマウントされたドライブを右クリックし、NFS UIDを確認すると、正しい(マップされた)UIDではなく-2が返されます。

したがって、私が得た最終的な計画は、Windows2008R2仮想マシン内でActiveDirectoryを使用することです。私が達成したいのは、Active DirectoryにOpenDirectoryからのユーザーデータを同期させることです(読み取り専用で問題ありません)。そうすれば、Windows7クライアントを「仮想ドメイン」に接続することができます。仮想ドメインは実際にはODのLDAPから情報を取得するだけです。

私が見つけたすべての情報は、他の方法に行く方法についてです。

誰かが私たちがこれを行う方法を知っていますか?

8
Tom O'Connor

あなたがやりたいことは可能かもしれません。しかし、それはいくつかのことに依存します。中央IDストアとは何ですか? OpenDirectoryですか?また、同期を逆に機能させるとどのような影響がありますか? (つまり、ADでユーザーを管理し、それをODに同期させることは可能ですか?)共有はどこに保存されますか?それは重要ですか?

これにはおそらくかなりの実験とテストが必要ですが、CentrifyExpressまたはLikelyOpenを使用してある程度の成功を収めることができる場合があります(ただし、現在は名前が変更されていると思います)。あなたが述べたように、これらは逆ではなく、Windows以外のクライアントにADに対して認証させることを目的としていますが、すでにWn2k8R2ドメインコントローラーの使用を検討しているので、これが最善の方法かもしれません。

2
Matt

WindowsがpGinaとNovell以外を認証できるようにするもの(Active Directory以外)は見たことがありません。

0
benjarrell

NetIQ(以前のNovell)Identity Manager製品は、要求どおりに動作します。中央のユーザーストアとADおよびOD(ここでは「openldap」)の間で同期します。 https://www.netiq.com/products/identity-manager/

ODまたはADの代わりにeDirectoryを使用することも検討してください。これは、両方の種類のクライアントでうまく機能するためです(また、Novell Open Enterprise ServerのWindows製品のドメインサービスでは、eDirectoryはすべての目的と目的でADのふりをすることができます)。

これらは無料ではありませんが、より安定して拡張可能なオプションになります。

0
Johnnie Odom