Associe-se ao ActiveDirectory (Win 2k8R2) no OpenDirectory (Snow Leopard)

A grande maioria das perguntas, e assim por diante, sobre a interoperabilidade dos diretórios Ativo e Aberto envolve fazer com que os clientes Mac vejam um AD e façam autenticação nele.

O que gostaríamos de fazer é obter uma estação de trabalho do Windows 7 para autenticação completa no Open Directory. Tentamos configurá-lo como um PDC do tipo NT4 e isso não funciona satisfatoriamente.

Tentamos usar o pGina e o back-end LDAP, o que permite autenticação, mas não oferece suporte à autorização e, como resultado, se montarmos um compartilhamento NFS, o usuário terá o direito de fazer qualquer coisa que deseje. Não é ideal para segurança (totalmente inaceitável, na verdade).

Tentamos usar um servidor Samba (versão mais recente que no Open Directory Server) como intermediário, para que ele saiba sobre o servidor LDAP no OD Server, mas use o Samba 4 em vez da v3. Isso também não funcionou. Poderíamos entrar, mas não conseguimos montar e, se o fizéssemos, tínhamos os mesmos direitos que o pGina. Se clicarmos com o botão direito do mouse na unidade montada no Windows e dar uma olhada no UID do NFS, ele retornará -2, não o UID correto (mapeado).

Portanto, o plano final que tenho é usar um Active Directory, dentro de uma máquina virtual Windows 2008R2. O que eu quero alcançar é que o Active Directory sincronize os dados do usuário do OpenDirectory (somente leitura seria bom). Dessa forma, teríamos a capacidade de conectar clientes Windows 7 a um "domínio virtual" que, na verdade, apenas pegaria informações do LDAP do OD.

Toda a informação que encontrei é sobre como seguir o outro caminho.

Alguém sabe como podemos fazer isso?

O que você quer fazer pode ser possível. Depende de algumas coisas, no entanto. O que é o repositório central de identidades? É o OpenDirectory? E qual seria o impacto em fazer a sincronização funcionar ao contrário? (ou seja, é possível gerenciar usuários no AD e sincronizar com o OD?) Onde seus compartilhamentos devem ser armazenados? Isso importa?

Isso provavelmente exigirá experimentação e testes substanciais, mas você poderá obter algum nível de sucesso usando o Centrify Express ou o Likewise Open (embora eu ache que isso foi renomeado agora). Como você afirmou, estas são voltadas para fazer com que seus clientes não-Windows se autentiquem no AD, e não o contrário, mas como você já está pensando em usar um controlador de domínio Wn2k8R2, esse pode ser o caminho a seguir.

Eu nunca vi nada (além do Active Directory) que permita que o Windows se autentique além de pGina e Novell.

O produto NetIQ (anteriormente Novell) Identity Manager fará exatamente o que você solicitou - ele será sincronizado entre um repositório central de usuários e o AD e o OD (que, para nossos propósitos, seria "openldap"). https://www.netiq.com/products/identity-manager/

Você também pode considerar usar o eDirectory em vez de OD ou AD, pois ele pode funcionar bem com os dois tipos de clientes (e com o Serviços de Domínio para Produto Windows do Novell Open Enterprise Server, o eDirectory pode fingir ser AD para todos os efeitos).

Essas seriam as opções mais estáveis ​​e expansíveis, embora não sejam livres.