Rejoignez ActiveDirectory (Win 2k8R2) à OpenDirectory (Snow Leopard)

La grande majorité des questions et ainsi de suite concernant l'interopérabilité des répertoires actifs et ouverts implique d'amener les clients Mac à voir un AD et à s'y opposer.

Ce que nous aimerions faire, c'est obtenir une station de travail Windows 7 pour l'authentification complète par rapport à Open Directory. Nous avons essayé de le configurer en tant que PDC de type NT4, et cela ne fonctionne pas de manière satisfaisante.

Nous avons essayé d'utiliser pGina et le backend LDAP, qui permet l'authentification, mais ne prend pas en charge l'autorisation, et par conséquent, si nous montons un partage NFS, l'utilisateur a le droit de faire tout ce qu'il veut. Pas idéal pour la sécurité (totalement sanglant inacceptable, en fait).

Nous avons essayé d'utiliser un serveur Samba (version plus récente que sur le serveur Open Directory) comme intermédiaire, afin qu'il connaisse le serveur LDAP sur le serveur OD, mais utilise Samba 4 au lieu de la v3. Cela n'a pas fonctionné non plus. Nous pouvions nous connecter, mais ne pouvions pas monter, et si nous le faisions, nous avions les mêmes droits qu'avec pGina. Si nous cliquons avec le bouton droit sur le lecteur monté dans Windows et examinons l'UID NFS, il renvoie -2, pas l'UID correct (mappé).

Donc, le plan final que j'ai est d'utiliser un Active Directory, à l'intérieur d'une machine virtuelle Windows 2008R2. Ce que je veux réaliser, c'est d'avoir la synchronisation Active Directory avec ses données utilisateur d'OpenDirectory (la lecture seule serait bien). De cette façon, nous aurions la possibilité de connecter les clients Windows 7 à un "domaine virtuel" qui ne ferait en fait que récupérer des informations du LDAP d'OD.

Toutes les informations que j'ai trouvées concernent la marche à suivre dans l'autre sens.

Est-ce que quelqu'un sait comment nous pouvons faire cela?

Ce que vous voulez faire peut être possible. Cela dépend cependant de quelques éléments. Qu'est-ce que le magasin central d'identité? Est-ce OpenDirectory? Et quel serait l'impact de faire fonctionner la synchronisation à l'envers? (c.-à-d. est-il possible de gérer les utilisateurs dans AD et de récupérer cette synchronisation avec OD?) Où sont stockés vos partages? Est-ce que ça importe?

Cela nécessitera probablement une expérimentation et des tests substantiels, mais vous pourrez peut-être atteindre un certain niveau de succès en utilisant Centrify Express ou Likewise Open (bien que je pense que cela a été renommé maintenant). Comme vous l'avez indiqué, ils visent à authentifier vos clients non Windows contre AD plutôt que l'inverse, mais étant donné que vous envisagez déjà d'utiliser un contrôleur de domaine Wn2k8R2, cela peut être la voie à suivre.

Je n'ai jamais rien vu (à part Active Directory) qui permettrait à Windows de s'authentifier autre que pGina et Novell.

Le produit Identity Manager de NetIQ (anciennement Novell) fera exactement ce que vous avez demandé - il se synchronisera entre un magasin d'utilisateurs central et AD et OD (qui pour nous serait "openldap"). https://www.netiq.com/products/identity-manager/

Vous pouvez également envisager d'utiliser eDirectory au lieu de OD ou AD car il peut parfaitement fonctionner avec les deux types de clients (et avec le produit Domain Services for Windows de Novell Open Enterprise Server, eDirectory peut prétendre être AD à toutes fins utiles).

Ce sont les options les plus stables et extensibles, bien qu'elles ne soient pas gratuites.