Únete a ActiveDirectory (Win 2k8R2) a OpenDirectory (Snow Leopard)

La gran mayoría de las preguntas y demás sobre la interoperabilidad de los directorios Activo y Abierto implica hacer que los clientes de Mac vean un AD y se autentiquen en su contra.

Lo que nos gustaría hacer es lograr que una estación de trabajo con Windows 7 se autentique completamente en Open Directory. Intentamos configurarlo como un PDC tipo NT4, y eso no funciona satisfactoriamente.

Intentamos usar pGina y el backend LDAP, que permite la autenticación, pero no es compatible con la autorización, y como resultado, si montamos un recurso compartido NFS, el usuario tiene los derechos para hacer cualquier cosa que le parezca bien. No es ideal para la seguridad (totalmente inaceptable, en realidad).

Intentamos usar un servidor Samba (versión más nueva que en el Open Directory Server) como intermediario, para que sepa sobre el servidor LDAP en el servidor OD, pero usa Samba 4 en lugar de v3. Eso tampoco funcionó. Pudimos iniciar sesión, pero no pudimos montar, y si lo hiciéramos, tendríamos los mismos derechos que con pGina. Si hacemos clic con el botón derecho en la unidad montada en Windows y observamos el UID de NFS, devuelve -2, no el UID correcto (asignado).

Entonces, el plan final que tengo es usar un Active Directory, dentro de una máquina virtual Windows 2008R2. Lo que quiero lograr es que Active Directory sincronice sus datos de usuario de OpenDirectory (solo lectura estaría bien). De esa forma, tendríamos la capacidad de conectar clientes de Windows 7 a un "dominio virtual" que en realidad solo tomaría información del LDAP de OD.

Toda la información que he encontrado es sobre cómo ir para otro lado.

¿Alguien sabe cómo podemos hacer esto?

Lo que quieres hacer puede ser posible. Sin embargo, depende de algunas cosas. ¿Qué es la tienda de identidad central? ¿Es OpenDirectory? ¿Y cuál sería el impacto de hacer que la sincronización funcione a la inversa? (es decir, ¿es factible administrar usuarios en AD y tener esa sincronización de regreso a OD?) ¿Dónde se almacenarán sus recursos compartidos? ¿Importa?

Probablemente esto requerirá una gran experimentación y pruebas, pero es posible que pueda lograr cierto nivel de éxito utilizando Centrify Express o Likewise Open (aunque creo que ahora se ha cambiado el nombre). Como ha dicho, estos están orientados a lograr que sus clientes que no son de Windows se autentiquen contra AD en lugar de al revés, pero dado que ya está considerando usar un controlador de dominio Wn2k8R2, este puede ser el camino a seguir.

Nunca he visto nada (además de Active Directory) que permita a Windows autenticarse aparte de pGina y Novell.

El producto NetIQ (anteriormente Novell) Identity Manager hará exactamente lo que solicitó: se sincronizará entre un almacén de usuarios central y AD y OD (que para nuestros propósitos sería "openldap"). https://www.netiq.com/products/identity-manager/

También puede considerar usar eDirectory en lugar de OD o AD, ya que puede funcionar bien con ambos tipos de clientes (y con los Servicios de dominio para productos de Windows de Novell Open Enterprise Server, eDirectory puede pretender ser AD para todos los efectos).

Estas serían las opciones más estables y expandibles, aunque no son gratuitas.