Tom*_*nor 8 active-directory ldap authentication opendirectory authorization
有关 Active 和 Open 目录互操作性的绝大多数问题都涉及让 Mac 客户端查看 AD 并对其进行身份验证。
我们想要做的是让 Windows 7 工作站完全针对 Open Directory 进行身份验证。我们尝试将其设置为 NT4 类型的 PDC,但效果不佳。
我们尝试使用 pGina 和 LDAP 后端,它允许身份验证,但不支持授权,因此,如果我们挂载 NFS 共享,用户有权做任何他们该死的事情。不适合安全(实际上完全不可接受)。
我们尝试使用 Samba 服务器(比 Open Directory Server 更新的版本)作为中间件,以便它知道 OD 服务器上的 LDAP 服务器,但使用 Samba 4 而不是 v3。那也没有用。我们可以登录,但不能挂载,如果登录,我们就拥有与 pGina 相同的权限。如果我们在 Windows 中右键单击已安装的驱动器,并查看 NFS UID,它将返回 -2,而不是正确的(映射的)UID。
所以我的最终计划是在 Windows 2008R2 虚拟机中使用 Active Directory。我想要实现的是让 Active Directory 同步它来自 OpenDirectory 的用户数据(只读就可以)。这样,我们就能够将 Windows 7 客户端连接到一个“虚拟域”,该域实际上只是从 OD 的 LDAP 中获取信息。
我找到的所有信息都是关于如何走另一条路的。
有谁知道我们如何做到这一点?
你想做的事情也许是可能的。但这取决于一些事情。什么是中央身份存储?是开放目录吗?反向同步会产生什么影响?(即在 AD 中管理用户并将其同步回 OD 是否可行?)您的共享存储在哪里?有关系吗?
这可能需要大量的实验和测试,但您可能能够使用 Centrify Express 或 Sametime Open(尽管我认为现在已更名)取得一定程度的成功。正如您所说,这些旨在让您的非 Windows 客户端针对 AD 进行身份验证,而不是相反,但鉴于您已经在考虑使用 Wn2k8R2 域控制器,这可能是正确的选择。
| 归档时间: |
|
| 查看次数: |
390 次 |
| 最近记录: |