6. AD集成
活動(dòng)目錄AD是一種定制的LDAP目錄服務(wù), Mac OS X可以使用LDAPv3插件(plugins)或者AD插件來(lái)利用AD進(jìn)行認(rèn)證. 不象主OD, 客戶端OS X并不能預(yù)先了解每一個(gè)AD服務(wù)的架構(gòu)的實(shí)施情況, 因此, 使用LDAPv3插件要求更多的設(shè)置, 而且也需要(管理員)更多了解AD的屬性(和LDAPv3屬性之間)對(duì)應(yīng)關(guān)系. 另一方面, AD插件就如同Windows客戶端一樣, 可以在特定的域森林中自動(dòng)發(fā)現(xiàn)域控制器(Domain Controllers)并對(duì)AD和Mac OS X客戶端信息匹配.
這一節(jié)主要介紹利用配置AD插件來(lái)匹配AD服務(wù)器. 這一節(jié)的最后一頁(yè)有一個(gè)檢查列表, 用于檢查跟蹤AD的設(shè)置.
A. 感受AD
在進(jìn)入AD綁定之前, 最好是檢查你可以連接和找到目錄服務(wù). 我們使用"LDapper"來(lái)瀏覽可用目錄服務(wù).
1. 啟動(dòng)LDapper應(yīng)用(你可以到versiontracker.com下載)(譯者注:為了方便國(guó)內(nèi)用戶,我上傳了最新版LDapper Ver2.0.4到CSDN的資源里面, http://download.csdn.net/source/1038331)
2. 在LDapper菜單中選擇"Preferences",點(diǎn)擊"+"按鈕添加一個(gè)新的目錄服務(wù). 按照你的AD環(huán)境配置目錄.
3. AD默認(rèn)不允許匿名綁定,所以點(diǎn)擊"Authentication", 輸入一個(gè)有加入計(jì)算機(jī)到域("Join a computer to the domain")權(quán)限的用戶和密碼. 你可能需要特殊的 AD用戶賬戶, 象:
| cn=Bind Account,cn=Users,dc=apple,dc=edu |
4. 點(diǎn)擊OK, 在"Default Search Options"里,選擇獲取"All Attributes",取消"Discard responses without email"和"Search for people only"選項(xiàng). 點(diǎn)擊OK,關(guān)閉preferences窗口.
5. 從File菜單選擇"New Browse Window",在你的AD旁邊點(diǎn)擊展開(kāi)三角來(lái)瀏覽用戶記錄. 點(diǎn)擊其中一個(gè)記錄來(lái)查看其中內(nèi)容.
用戶記錄顯示,都有那些可用的用戶記錄存在于AD服務(wù)器. 這個(gè)工具對(duì)于映射LDAPv3插件時(shí)非常有用,而且當(dāng)你希望檢查那個(gè)特殊的名字可以用來(lái)進(jìn)行計(jì)算機(jī)賬號(hào)綁定.
6. 在LDapper的Preferences里面設(shè)置你的計(jì)算機(jī)所屬OU作為搜索基礎(chǔ). 打開(kāi)一個(gè)新的瀏覽窗口,來(lái)瀏覽計(jì)算記錄.
B. 配置AD插件
因?yàn)锳D插件利用DNS來(lái)定位AD資源, 所以要進(jìn)行一個(gè)小配置. 使用你的AD管理員提供的設(shè)置,或者參見(jiàn)本文最后一頁(yè)的說(shuō)明。
1. 啟動(dòng)Directory Utility應(yīng)用.
2. 為了顯示更多的AD插件的配置選項(xiàng),需要使用高級(jí)選項(xiàng). 點(diǎn)擊"Show Advanced Settings"按鈕, 然后點(diǎn)擊"Services"按鈕.
3. 如果需要就登錄,打開(kāi)Active Directory服務(wù), 并點(diǎn)擊下面的鉛筆按鈕.
4. 填入域名和計(jì)算機(jī)ID, 然后點(diǎn)擊"Bind"按鈕,輸入AD賬號(hào)和密碼(由AD管理員提供). 謹(jǐn)慎考慮你的計(jì)算機(jī)所屬OU, 默認(rèn)的OU可能不存在, 或者不合適,或者沒(méi)有權(quán)限. 綁定會(huì)失敗,如果你的賬號(hào)在該OU中沒(méi)有寫(xiě)權(quán)限, 所以向AD管理員詢問(wèn)哪個(gè)OU合適. 而且計(jì)算機(jī)名不能長(zhǎng)于19個(gè)字符. 一般來(lái)說(shuō), 最好取DNS主機(jī)名的前面部分. 如果你是用雙啟動(dòng), 那么記住Mac OS X和Windows要使用各自唯一的ID.
5. 點(diǎn)擊"Show Advanced Options"按鈕. 考慮下面在User Experiences標(biāo)簽的選項(xiàng):
- "Create mobile account": 因?yàn)榭蛻魴C(jī)將緩存登錄的用戶證書(shū)在本地,所以這有利于在家中使用的用戶.
- "Force local home": 如果你的AD沒(méi)有指定用戶的Home目錄,或者你不希望用戶使用網(wǎng)絡(luò)Home目錄, 那么這項(xiàng)應(yīng)該選中。
- "Use UNC path from Active Directory to derive home location": 如果你的AD賬號(hào)設(shè)置了Home目錄, 那么這個(gè)選項(xiàng)將準(zhǔn)許把這個(gè)值,轉(zhuǎn)化為一個(gè)URL以便在用戶登錄的時(shí)候安裝這個(gè)共享. 如果協(xié)議沒(méi)有被正確設(shè)置,那么當(dāng)用戶登錄的時(shí)候會(huì)產(chǎn)生錯(cuò)誤.
6. 考慮在Administrative標(biāo)簽下的選項(xiàng):
- "Prefer this fomain server": 如果有一個(gè)優(yōu)選的服務(wù)器,在這里設(shè)置。如果這個(gè)服務(wù)器無(wú)法連通,AD插件會(huì)自動(dòng)選找另一個(gè)在域森林中的服務(wù)器. 默認(rèn)的,AD插件會(huì)自動(dòng)連接最近的一個(gè)AD域服務(wù)器.
- "Allow administration by": 這個(gè)選項(xiàng)準(zhǔn)許設(shè)定哪個(gè)AD組的成員可以獲得這個(gè)機(jī)器本地的管理員權(quán)限.
- "Allow authentication from any doamin within the forest": 如果域森林包括多個(gè)域, 它準(zhǔn)許AD插件在域森林中擴(kuò)展搜索用戶記錄,以使其它域的用戶可以在本機(jī)登錄.
7. 當(dāng)綁定結(jié)束后, 返回LDapper程序,在計(jì)算機(jī)容器中找到你的計(jì)算機(jī)記錄.
8. 返回Directory Utility,點(diǎn)擊OK來(lái)關(guān)閉AD插件窗口.
9. 點(diǎn)擊"Directory Servers"按鈕, 如果你的機(jī)器按照前面的練習(xí)配置了,那么在服務(wù)器列表中刪除它. 應(yīng)用之后,關(guān)閉Directory Utility.
C. 檢查目錄連接性
1. 在Terminal中, 使用dscl命令來(lái)便覽AD節(jié)點(diǎn)和用戶記錄。不要鍵入提示符:
|
client:~ admin# dscl localhost
/ > cd Active/ Directory/All/ Domains/ /Active Directory/All Domains > cd Users/ /Active Directory/All Domains/Users > ls administrator binder guest krbtgt labadmin student /Active Directory/All Domains/Users > read student ... |
2. 或者,可以輸入?yún)?shù)來(lái)讀取比如student用戶信息:
|
% dscl /Active/ Directory/All/ Domains -read /Users/student
ADDomain: apple.edu cn: Student Account displayName: Student Account distinguishedName: CN=Student Account,CN=Users,DC=apple,DC=ed u givenName: Student homeDirectory: homeDrive: name: Student Account primaryGroupID: 513 sAMAccountName: student sAMAccountType: 805306368 sn: Account userPrincipalName: student@apple.edu AppleMetaNodeLocation: /Active Directory/apple.edu AuthenticationAuthority: 1.0;Kerberosv5;86C47B88-6506-4F64- 8E1D-73A74071A391;student@APPLE.EDU;APPLE.EDU; FirstName: Student GeneratedUID: 86C47B88-6506-4F64-8E1D-73A74071A391 NFSHomeDirectory: /Users/student LastName: Account PasswordPlus: ******** PrimaryGroupID: 20 RealName: Student Account RecordName: student student@apple.edu APPLE/student SMBAccountFlags: 805306368 SMBGroupRID: 513 SMBHome: SMBHomeDrive: SMBLogoffTime: 0 SMBLogonTime: 127515826632546368 SMBPasswordLastSet: 127515390413065200 UniqueID: 113539976 |
3. 使用上面的dscl命令讀AD插件產(chǎn)生的AD用戶信息,并用LDapper顯示的內(nèi)容來(lái)對(duì)比. AD插件根據(jù)其它的用戶信息產(chǎn)生一些動(dòng)態(tài)屬性. 比如: "NFSHomeDirectory", "UniqueID"和"PrimaryGroupID"等.
D. Home目錄和AD插件
默 認(rèn)的, Ad插件會(huì)在本地的/Users目錄里面產(chǎn)生一個(gè)用戶Home目錄并且在Desktop上通過(guò)SMB產(chǎn)生Windows網(wǎng)絡(luò)共享. 你可以在AD插件的"Advanced Options->User Expereice"里面配置這個(gè)操作, 同樣可以使用命令行工具dsconfigad. 詳細(xì)的關(guān)于dsconfigad的說(shuō)明見(jiàn)知識(shí)庫(kù)文章
"Using network homes with the Active Directory plug-in for Mac OS X 10.3.3 or later"
(http://docs.info.apple.com/article.html?artnum=107943)
到 目前為止,我們?cè)撍伎家幌?Using a Network Home Directory"和"Mounting network home at login"的區(qū)別了. 看上去它們類(lèi)似, 而主要區(qū)別在于,是把用戶Home目錄安裝到網(wǎng)絡(luò)共享,還是用戶Home目錄在本地然后再在Desktop上安裝網(wǎng)絡(luò)共享. 對(duì)于網(wǎng)絡(luò)Home目錄, 用戶所有的文檔和配置信息,都直接存放在服務(wù)器上. 而對(duì)于安裝的網(wǎng)絡(luò)Home,配置信息自動(dòng)存放本地,用戶必須手動(dòng)把文檔保存在網(wǎng)絡(luò)Home里,否則可能丟失.
網(wǎng)絡(luò)Home目錄對(duì)于學(xué)生來(lái) 說(shuō)很好用,但是管理時(shí)可能頭痛. 好多程序在啟動(dòng)時(shí)生成緩存文件. 如果好多學(xué)生同時(shí)登錄并運(yùn)行好多程序, 你的服務(wù)器(負(fù)載)和網(wǎng)絡(luò)流量會(huì)大增. 如果使用無(wú)線或者低速連接, 或者使用如iLife的多媒體程序,那么強(qiáng)烈建議避免使用網(wǎng)絡(luò)Home目錄而是把Home目錄安裝在Desktop上(譯者注:用戶手動(dòng)復(fù)制文檔到服務(wù)器 上).
移動(dòng)的Home(Portable home Directory, PHD)目錄是混合上面兩者的方案. 一個(gè)PHD會(huì)在本地產(chǎn)生一個(gè)網(wǎng)絡(luò)Home目錄的副本,然后在登錄和登出時(shí)同步改變. 當(dāng)用戶找好由AD管理, 且AD架構(gòu)是擴(kuò)展的, 那么PHD可以通過(guò)用戶管理來(lái)配置,或者通過(guò)組或計(jì)算機(jī)管理配置. 參見(jiàn)第7章的組和計(jì)算機(jī)管理和第8章的用戶管理部分和Apple官方文檔:http://www.apple.com/server/macosx /resources/
另外一個(gè)可以考慮的方案是考慮AD插件在AD用戶記錄保存的屬性, 一般地不會(huì)被各個(gè)部門(mén)修改的. 在一個(gè)大型的大學(xué)校園, 對(duì)于管理員來(lái)說(shuō)很難為各個(gè)部門(mén)提供存儲(chǔ)空間. 在第9章中的"增長(zhǎng)的記錄"會(huì)考慮這個(gè)方案.
E. AD綁定自動(dòng)化
當(dāng) 把計(jì)算機(jī)綁定到AD, 隨著在AD插件提供的唯一的計(jì)算機(jī)ID,一個(gè)計(jì)算機(jī)賬號(hào)會(huì)被生成. 由于這個(gè)計(jì)算機(jī)和域建立了互信關(guān)系,每個(gè)綁定到AD域的計(jì)算機(jī)必須右唯一的賬號(hào). 對(duì)于一個(gè)管理大型實(shí)驗(yàn)室或者數(shù)百計(jì)算機(jī)的管理員來(lái)說(shuō)是一個(gè)挑戰(zhàn). 為了解決它,Mac OS X提供了一個(gè)自動(dòng)綁定的工具. "dsconfigad"可以綁定計(jì)算機(jī)到AD并配置所有AD插件的行為.
提 醒, 自動(dòng)綁定過(guò)程需要你把賬戶密碼保存在shell腳本中, 這明顯預(yù)示著安全問(wèn)題. 為了降低危險(xiǎn), 1)使用一個(gè)受限的賬號(hào)僅用來(lái)添加計(jì)算機(jī), 2) 經(jīng)常改變密碼, 3)限制可以解除shell腳本的人, 4)刪除shell歷史文件. 下面的命令假設(shè)你使用前置"sudo"引導(dǎo),或者在一個(gè)shell腳本中用root權(quán)限.
1. 閱讀dsconfigad的man幫助。
2. 使用下面命令查看當(dāng)前狀態(tài):
|
dsconfigad -show
|
3. 如果已經(jīng)綁定了AD, 銷(xiāo)毀它.
|
dsconfigad -r -u binder -p 'password'
|
4. 使用下面的語(yǔ)法來(lái)綁定AD
|
dsconfigad -f -a "computerid" -domain "apple.edu" -u "binder" -p 'password' -ou "CN=computers, DC=apple,DC=edu"
|
5. 使用下面語(yǔ)句來(lái)配置高級(jí)選項(xiàng):
|
dsconfigad -alldomain enable -localhome enable /
-protocol afp -mobile disable -mobileconfirm disable / -useuncpath enable -shell "/bin/bash" -nopreferred / -groups 'APPLE/Lab Administratores' |
6. 添加Ad節(jié)點(diǎn)到搜索路徑使用dscl命令:
|
dscl /Search -create / SearchPolicy CSPSearchPath
dscl /Search -append / CSPSearchPath “/Active Directory/All Domains” dscl /Search/Contacts -create / SearchPolicy CSPSearchPath dscl /Search/Contacts -append / CSPSearchPath “/Active Directory/All Domains” |
目 錄綁定必須在OS啟動(dòng)時(shí)產(chǎn)生,也就是說(shuō), 目錄綁定不能在部署系統(tǒng)鏡象的后期動(dòng)作中完成--綁定過(guò)程會(huì)變更在啟動(dòng)卷(譯者注:原文是,boot drive.)的/Library/Preferences/DirectoryServices文件. 右兩種方式來(lái)做到在系統(tǒng)鏡象部署后自動(dòng)綁定. 一個(gè)是生成一個(gè)強(qiáng)迫延遲運(yùn)行的啟動(dòng)項(xiàng)(startup item)綁定腳本(它將有一段時(shí)間來(lái)使DirectoryServices建立, 而loginwindow不會(huì)等待它完成). 另外一個(gè)方法是把綁定腳本作為login hook. 兩個(gè)方法都產(chǎn)生同樣效果, 而login hook方法會(huì)更強(qiáng)壯,因?yàn)槟憧梢云仁筶oginwindow直到DirectoryServices準(zhǔn)備好后再顯示. 一個(gè)實(shí)例腳本在后面的參考一節(jié)中列出,它會(huì)完成綁定, 配置AD插件, 添加AD節(jié)點(diǎn)到搜索路徑, 禁止自動(dòng)登錄(auto-login)和安全地自我刪除(和綁定密碼)
要實(shí)施login hook:
1. 安裝綁定腳本
2. 設(shè)置綁定腳本為login hook:
|
sudo defaults write /var/root/Library/Preferences/com.apple.loginwindow /
LoginHook /path/to/bind_script.sh |
3. 在Accounts的配置面板里的Login options,設(shè)置自動(dòng)登錄到任意一個(gè)用戶.
F. AD插件排錯(cuò)
除了所有在前面的OD的排錯(cuò)都可以應(yīng)用到AD上,另外還有一些其它的事情考慮:
綁定問(wèn)題:
- 確定客戶機(jī)和服務(wù)器的時(shí)鐘誤差不超過(guò)5分鐘. Kerberos認(rèn)證嚴(yán)格要求時(shí)間,建議所有機(jī)器都和同一個(gè)時(shí)間服務(wù)器同步時(shí)間.
- 確認(rèn)使用的網(wǎng)絡(luò)管理員賬戶在指定的計(jì)算機(jī)OU中有寫(xiě)權(quán)限.
- 確認(rèn)使用的網(wǎng)絡(luò)管理員賬戶正確(使用sAMAccountName和密碼)
- 確認(rèn)客戶機(jī)使用和AD同樣的DNS服務(wù)器.AD管理員可以確認(rèn)這個(gè).
- 確認(rèn)你可以和服務(wù)器的53,88,137,389和445端口通信.
"You are unable o login to the user account "Student" at this time..."
- 使用dsconfigad -show命令來(lái)看用戶的home目錄應(yīng)該被綁定.
-
然后使用dscl命令讀取用戶記錄:
dscl /Active/ Directory/All/ Doamins -read /Users/student - 確認(rèn)用戶的home目錄在哪里("HomeDirectory"屬性), 并檢查你可以使用指定的協(xié)議安裝這個(gè)共享.
- 如果需要,使用"dsconfigad -mountstyle AFP|SMB"來(lái)改變安裝協(xié)議.
其它的錯(cuò)誤:
- 使用adcheck工具產(chǎn)看是否有其它錯(cuò)誤。
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫(xiě)作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
