Ich führe ein paar Tests mit OS X Server durch, bevor ich in einigen Monaten eine Bereitstellung durchführen muss. Ich habe Open Directory konfiguriert und einige Benutzer erstellt. Ich habe Directory Utility auf einem 10.5-Client konfiguriert, aber die Anmeldeauthentifizierung funktioniert nicht wie erwartet. Ich würde erwarten, dass ich einen Benutzernamen/ein Passwort von jedem in Open Directory erstellten Benutzer verwenden und mich beim Client anmelden kann. Stattdessen muss ich anscheinend einen lokalen Benutzer erstellen, den Sie dann mithilfe von Directory Utility mit einem Verzeichnisbenutzer synchronisieren.
Wenn ich dem Client alternativ eine Active Directory-Konfiguration hinzufüge, kann ich wie erwartet jeden AD-Benutzer verwenden.
Hoffe ich auf das Unmögliche oder stimmt wahrscheinlich etwas mit der Konfiguration nicht?
Antwort1
Es klingt eher so, als ob mit Ihrer Konfiguration etwas nicht stimmt – wie haben Sie den Open Directory-Server im Verzeichnisdienstprogramm hinzugefügt, denn es funktioniert genau so, wie Sie es möchten.
Überprüfen Sie außerdem, bevor Sie zu viel anderes tun, Ihren DNS, da DNS alle möglichen Probleme mit Open Directory verursachen kann.
Anweisungen finden Sie in den Dokumenten:Open Directory-Administrator-PDF, und zwar Seite 118 zitiert:
So stellen Sie eine Verbindung zu einem Standard- oder Arbeitsgruppenkonfigurationsserver her:
1 Öffnen Sie das Verzeichnisdienstprogramm (unter /Programme/Dienstprogramme/).
2 Wenn das Schlosssymbol gesperrt ist, entsperren Sie es, indem Sie darauf klicken und den Namen und das Kennwort eines Administrators eingeben.
3 Klicken Sie auf „Verzeichnisserver“ und dann auf die Schaltfläche „Hinzufügen“ (+).
4 Wählen Sie im Einblendmenü „Neues Verzeichnis vom Typ hinzufügen“ die Option „Open Directory“ aus.
5 Geben Sie im Feld „Servername oder IP-Adresse“ den Servernamen oder die IP-Adresse ein.
6 (Bedingt) Bevor Sie das Kontrollkästchen „Mit SSL verschlüsseln“ aktivieren, klären Sie mit Ihrem Open Directory-Administrator, ob SSL erforderlich ist.
7 Im Einführungsbereich wird eine Liste der Dienste angezeigt, die vom Server angeboten werden, mit dem Sie eine Verbindung herstellen. Klicken Sie auf „Einrichtung beginnen“.
8 Geben Sie die Authentifizierungsinformationen für den Server ein, mit dem Sie eine Verbindung herstellen.
Geben Sie im Feld „Name und Kennwort“ den Administratornamen und das Kennwort für den Server ein, mit dem Sie eine Verbindung herstellen.
Geben Sie das Kennwort für das Benutzerkonto ein, das unter „Geben Sie das Kennwort für den Kontobenutzernamen auf diesem Computer ein“ angezeigt wird.
9 Klicken Sie auf „Fortfahren“.
10 Wählen Sie unter „Konfigurationsoptionen“, ob das Verzeichnisdienstprogramm Ihre Anwendungen konfigurieren soll oder nicht.
Wählen Sie „Ja“, wenn der Server Ihre Anwendung so konfigurieren soll, dass sie die von ihm angebotenen Dienste nutzt.
Wählen Sie „Nein“, um diese Konfiguration zu umgehen.
11 Klicken Sie auf „Fortfahren“.
12 Klicken Sie auf „Setup beenden“.
Antwort2
So können Sie den aktuellen Stand auf dem Client überprüfen.
Öffnen Sie ein Terminal und führen Sie aus dscl. Sie können damit über die Befehlszeile auf die Verzeichnisdienste zugreifen. Wenn Sie es ohne Optionen ausführen, ist es interaktiv (und fühlt sich eher an wie das Navigieren in einer Dateisystemhierarchie, inklusive Tab-Vervollständigung).
$ dscl
ls
Ihr Eintrag wird wahrscheinlich Folgendes enthalten:
- BSD
- LDAPv3
- Lokal
- [eine leere Zeile]
- Suchen
- Kontakt
Sehen wir uns nun an, an welche Verzeichnisse Sie über LDAP gebunden sind (dazu gehört OpenDirectory, da es OpenLDAP verwendet):
cd LDAPv3
ls
Sie sollten eine IP-Adresse sehen, die dem Open Directory Master/Replica entspricht, an das Sie gebunden sind. Wenn hier nichts steht, sind Sie an nichts gebunden.
cd [IP address of ODM/ODR -- tab completion can help]
ls
Sie sollten eine Reihe von Verzeichnissen sehen. Wenn Sie nichts sehen, sind Sie entweder nicht gebunden, der Server antwortet nicht oder es liegt ein Netzwerkproblem vor.
cd Users
ls
Sie sollten eine Liste Ihrer Benutzer sehen. So erhalten Sie detaillierte Informationen zu einem von ihnen:
read [username]
oder, um den Aufwand zu reduzieren, können Sie wie folgt angeben, welche Parameter Sie interessieren:
read [username] UniqueID PrimaryGroupID RecordName RealName NFSHomeDirectory UserShell
Oder versuchen Sie Folgendes, um Informationen zu allen Benutzern anzuzeigen:
readall . RealName UniqueID
Zuletzt können Sie den Suchpfad (nach zu authentifizierenden Benutzern gesucht) und den Kontaktpfad (Benutzer, die in Directory.app und Address Book.app angezeigt werden) abfragen, indem Sie Folgendes tun:
readall /Search/Users RealName UniqueID
readall /Contacts/Users RealName UniqueID
Gab es hieraus einen Hinweis auf den Bindungsstatus Ihres Mandanten?
Sie können auch Folgendes versuchen:
ssh username@localhost
So können Sie testen, ob die Authentifizierung funktioniert. (SSH muss zuerst aktiviert werden. Systemeinstellungen -> Freigabe -> Remote-Anmeldung).
Antwort3
Es sollte problemlos funktionieren. Erstellen Sie einfach einen OD-Master auf dem Server, erstellen Sie Ihre Home-Freigabe und die Benutzer und verwenden Sie auf den Clients das Directoy-Dienstprogramm, um unter der Registerkarte „Verzeichnisserver“ auf Ihren OD-Server zu verweisen.
Anschließend gehst du zu den erweiterten Einstellungen: Im Reiter Dienste muss LDAPv3 aktiviert sein und unter Suchrichtlinie/Authentifizierung muss auch dein OD-Server aufgelistet sein. Ist das nicht der Fall, sollte er erscheinen, wenn du auf das Plus klickst.
Führen Sie anschließend einen Neustart durch und Sie sollten sich mit Ihren OD-Benutzern authentifizieren können (um Verwirrungen zu vermeiden, sollten Sie keinen lokalen Benutzer mit dem Namen des entsprechenden OD-Benutzers haben).
Antwort4
Ja, ich erinnere mich, dass ich Home-Verzeichnisse hinzugefügt habe und dann plötzlich kein wackelnder Bildschirm mehr hatte, als ich versuchte, mich bei Open Directory zu authentifizieren! Danke für die Erinnerung.