У нас есть организационный домен Windows xxx.org, который предоставляет DHCP, Gateway, Network, Winbind, firewall и т. д. На удаленном сайте у нас есть другой домен yyy.org, которым мы управляем и контролируем. В настоящее время все пользователи на удаленном сайте, как часть родительского домена, входят в систему и аутентифицируются соответствующим образом.
Строго для целей создания и аутентификации пользователя с использованием конструкции электронной почты, т.е.[email protected]мы настраиваем сервер ubuntu 14.04 с Samba 4.1 Active Directory. Samba AD позволяет нам создавать пользователей с конструкцией email. Затем мы можем, надеюсь, использовать SSO для служб, требующих логин с конструкцией email.
Проблема в том, чтобы заставить клиента Windows присоединиться к домену yyy.org. Мы устанавливаем DNS IP так, чтобы он указывал на samba AD, и меняем домен компьютеров на yyy.org. Но клиент все еще привязывается к родительскому домену.
Ранее, в процессе экспериментов, мы настроили Ubuntu для обслуживания DHCP, и привязка клиента к yyy.org прошла успешно. Возможно, нам придется сделать это снова, я не уверен. Как мы сказали в первом посте, наши знания ограничены. И, конечно, мы хотим, чтобы это было бесшовно для родительского домена.
решение1
да, должно быть возможно получить SSO для клиентов Windows и Mac с помощью Samba 4, и пока сервер находится в той же сети, вам не придется вносить изменения в брандмауэр. Если вам нужно разместить серверы в другой сети, есть большая вероятность, что вам придется открыть дополнительные порты.
Chromebook не так прост в интеграции. Здесь у вас двухэтапный процесс. Сначала вам нужно подключить свой сервер к Google Apps с помощью инструмента Google Apps Synchttps://support.google.com/a/answer/6123891, это синхронизирует пользовательские данные, а затем прикрепляет приложения Google к серверу с помощью SAML для аутентификации пароля. После этого любая служба приложений Google будет использовать данные, которые вы предоставили в систему.
Что касается домена, используйте неиспользуемый поддомен yyy.org, например, internal.yyy.org или что-то подобное. Таким образом, ваш внутренний DNS не будет блокировать внешние веб-сайты, и вы можете быть уверены, что никто не зарегистрирует или не переназначит ваш домен, как это произошло с .local.
Если у вас ограниченные технические навыки, я бы посоветовал рассмотреть бесплатные корпоративные дистрибутивы, которые поставляются с интерфейсом управления и протестированы для этой цели, например, UCS Core Edition от Univention. Обычно это упрощает настройку и администрирование.