Open LDAP ou Active Directory en maitre ?, Recherche retour d'expérience

[user-friendly]

Bonjour,

Je cherche des infos sur la mise en place d'un réseau hétérogène mac-pc

J'avais prévu la mise en place d'un serveur mac (avec samba en pdc pour les machines windows) seulement voila dans Lion il n'y aura plus samba.
De plus je pense qu'il faut avoir 1 serveur pour chaque techno afin d'avoir tous les outils.

Je me demande donc comment je vais faire :

- soit je configure un domaine avec AD et je connecte le serveur MAC dessus (donc AD maitre)
- soit je configure mon serveur MAC avec OpenLadp en base de compte et je connecte si cela est possible mon Windows (donc OpenLADP maitre)

Dans le premier cas je sais que l'authentification sur les postes dans un domaine AD sera bien géré mais les comptes seront-ils bien rapatrié dans l'OpenLDAP du serveur MAC afin que les postes windows ouvrent des sessions par l'AD et les postes MAC ouvrent des sessions par OpenLDAP. Tout cela pour bénéficier des GPO pour les postes windows et du gestionnaire de groupe de travail pour les MAC.

Le deuxième cas est l'inverse, si j'utilise l'OpenLDAP en maitre, je n'aurais pas de problème pour l'authentification sur les MAC, mais pour les PC, le serveur Win sera connecté si possible à l'OpenLDAP et pourra t-il être contrôleur de domaine pour les PC ?

Je ne sais pas si je suis très clair.
En bref je ne veux une base de compte principale pour gérer au mieux mon parc pc-mac mais dois-je prendre l'OpenLDAP en maitre ou un Active Directory Microchiote en maitre ?

Merci de vos réactions

[user-friendly]

J'ai avancé un petit peu dans ma recherche

Il se trouve que Apple appelle cela le triangle magique : http://docs.info.apple.com/article.html?pa...odfd7c23d9.html

dans ce cas l'Open LDAP vient se connecter à l'AD et utilise le royaume kerberos de l'AD

je ne trouve pas de documentation allant dans l'autre sens : connexion d'un AD sur Open Directory

[roseau]

J'ai avancé un petit peu dans ma recherche

Il se trouve que Apple appelle cela le triangle magique : http://docs.info.apple.com/article.html?pa...odfd7c23d9.html

dans ce cas l'Open LDAP vient se connecter à l'AD et utilise le royaume kerberos de l'AD

je ne trouve pas de documentation allant dans l'autre sens : connexion d'un AD sur Open Directory

Je suis un peu dans la même problématique sauf que je n'ai pas de serveur windows avec active directory à disposition, mais un serveur mac sous Lion.
J'ai cherché à remplacer aD qui est un ldap version Microsoft par un ldap autre et j'ai trouvé
openldap
et j'ai trouvé open ldap for windows .

que pensez vous de cette alternative à un windows serveur?

Ce message a été modifié par roseau - 8 Sep 2011, 19:01.

[user-friendly]

Je suis un peu dans la même problématique sauf que je n'ai pas de serveur windows avec active directory à disposition, mais un serveur mac sous Lion.
J'ai cherché à remplacer aD qui est un ldap version Microsoft par un ldap autre et j'ai trouvé
open ldap for windows openldap for windows.

que pensez vous de cette alternative à un windows serveur?

Tu n'auras que l'annuaire (ou une réplication) sur ton poste windows, mais tu ne pourras ni gérer l'authentification, ni la gestion de tes postes avec ça.

[roseau]

Je suis un peu dans la même problématique sauf que je n'ai pas de serveur windows avec active directory à disposition, mais un serveur mac sous Lion.
J'ai cherché à remplacer aD qui est un ldap version Microsoft par un ldap autre et j'ai trouvé
open ldap for windows openldap for windows.

que pensez vous de cette alternative à un windows serveur?

Tu n'auras que l'annuaire (ou une réplication) sur ton poste windows, mais tu ne pourras ni gérer l'authentification, ni la gestion de tes postes avec ça.

pour l'authentification d'apès la doc :

Kerberos Authentication Service
OpenLDAP clients and servers support Kerberos authentication services. In particular, OpenLDAP supports
the Kerberos V GSS-API SASL authentication mechanism known as the GSSAPI mechanism. This feature
requires, in addition to Cyrus SASL libraries, either Heimdal or MIT Kerberos V libraries.
Heimdal Kerberos is available from http://www.pdc.kth.se/heimdal/. MIT Kerberos is available from
http://web.mit.edu/kerberos/www/.
Use of strong authentication services, such as those provided by Kerberos, is highly recommended.

non?

[OlivierCE]

Bonjour,

Je cherche des infos sur la mise en place d'un réseau hétérogène mac-pc

J'avais prévu la mise en place d'un serveur mac (avec samba en pdc pour les machines windows) seulement voila dans Lion il n'y aura plus samba.
De plus je pense qu'il faut avoir 1 serveur pour chaque techno afin d'avoir tous les outils.

Je me demande donc comment je vais faire :

- soit je configure un domaine avec AD et je connecte le serveur MAC dessus (donc AD maitre)
- soit je configure mon serveur MAC avec OpenLadp en base de compte et je connecte si cela est possible mon Windows (donc OpenLADP maitre)

Dans le premier cas je sais que l'authentification sur les postes dans un domaine AD sera bien géré mais les comptes seront-ils bien rapatrié dans l'OpenLDAP du serveur MAC afin que les postes windows ouvrent des sessions par l'AD et les postes MAC ouvrent des sessions par OpenLDAP. Tout cela pour bénéficier des GPO pour les postes windows et du gestionnaire de groupe de travail pour les MAC.

Le deuxième cas est l'inverse, si j'utilise l'OpenLDAP en maitre, je n'aurais pas de problème pour l'authentification sur les MAC, mais pour les PC, le serveur Win sera connecté si possible à l'OpenLDAP et pourra t-il être contrôleur de domaine pour les PC ?

Je ne sais pas si je suis très clair.
En bref je ne veux une base de compte principale pour gérer au mieux mon parc pc-mac mais dois-je prendre l'OpenLDAP en maitre ou un Active Directory Microchiote en maitre ?

Merci de vos réactions

Je dirait: Ca dépend ton budget et combien de postes PC tu compte y mettre. Si c'est en 2008 (R2, pas autre chose!!!!!) et s'il n'y a pas besoin de plus de 10 users, utilise un SBS (je crois que certains vont m'insulter là :-) ). Il existe 2 version, Essential de max 25 utilisateurs et Standard de max 75 users.

En ce qui concerne Samba, je crois avoir poster comment utiliser Lion et 2008/R2 avec le SMB. Il faut juste rajouter une clé de registre et redémarrer la bestiole et voilà. Lion utilise SMB2. Test fait hier et ça fonctionne à merveille.

Si tu vas pour la solution SBS tu pourras y inclure tes MAC dans l'AD et même utiliser les HomeDir (aussi testé et fonctionnel). Tu auras aussi quelque chose de centraliser (Auth et Shares). Pour le backup, ce sera bien plus facile.

A voir aussi si tu compte backuper tes mac's.

En ce qui concerne Microchiote, c'est pas pire qu'autre chose. Et sérieusement, je dois avouer que 2008 (toujours R2 et j'y tiens) est bien mieux que ce qui a été fait avant!

A toi de voir :-)

[OlivierCE]

Bon, je m'y suis mis au Triangle Magique.
Mais je crois que je dois avoir fait une bêtise quelque part.

Quand je veux désactiver le Kerberos sur mon OD il me met ceci


shutting down kadmind
kadmind shut down
shutting down kdc
removing KDC from the KerberosClient config record
Contacting the directory server
Directory updated
kdc shut down
Failed to remove the admin user error is 1
removing kdc database files

Quelqu'un a-t-il une idée du pourquoi?

[Tophe974]

Retour d'expérience de mon côté :
Pour info, je n'ai pas du tout mis en place ce "triangle magique", mais ai ajouté directement les mac mini (et mac book pro d'ailleurs) au domaine.

Au niveau de la conf, on a 2 serveurs avec le rôle de DC (2008R2) avec du partage SAMBA (avec du DFS et DFSR ), et aussi bien l'authentification que pour le partage de fichiers (SMB), ça fonctionne sans aucun souci. (et y compris le répertoire "home" de chaque utilisateur)

Si tu as besoin des services fournis par MacOSX Server (iCal Server, etc.), oui, il faudra mettre en place ce triangle magique, mais si tu n'as besoin des services... ce n'est pas utile. De notre côté, nous avions déjà un serveur Exchange, et l'intégration dans Lion est vraiment bien.

Pour info, ça fonctionne aussi très bien avec SnowLeopard.

[roseau]

J'ai continué mes recherches sur le sujet :

L'utilisation d'Active Directory et/ou d'un PDC n'est pas une fatalité il existe des alternatives.

Comme outil utilisant un LDAP pour l'authentification et autres ressources j'ai répertorié:

- celui donné par apple en open source/
http://pgina.org/

- Un payant 320 euro HT pour 10 licences
http://signon2.comtarsia.com


Dans les deux cas il faut que je trouve un PC avec windows pour tester !!

Mais peut être l'avez vous déjà fait?