7. 使用OD+AD管理用戶組和計算機
對于AD管理員不愿意把現有的AD架構擴展到支持Mac OS X的特定屬性的情況很普遍. 在Windows 2000服務器上,這個很容易理解, 因為AD架構的變更是不可逆的, 這樣一旦犯錯,除非你重建全部AD架構,否則前功盡棄. 在Windows 2003服務器上, 你可以撤消變更. 所以,這一點明顯改變了,AD架構的改變不再復雜和重負的。
因此, Mac管理員更愿意把基本的認證和AD集成, 但是AD并不能提供最大控制, 比如控制FInder的屬性和/或應用程序的存取控制等. 有一個幸運的妥協方式. 這一節我們就探討如何建立AD和OD的交叉認證平臺從而利用用戶組和計算機表來提供(最大)管理.
為了理解雙目錄管理如何工作,理解使用LDAP容器是關鍵. 簡便起見, 我將限制在對三個容器的討論:用戶,組,和計算機。
當用戶登錄時,將發生下面的事情:
- 認證(用戶名+密碼檢查)
- 授權使用該計算機
- 這個用戶是否屬于一個準許使用該計算機的組?
- 對這個計算機用戶和組有沒有特殊限制?
- 授權訪問網絡資源(例如存取網絡Home目錄)
操 作系統使用Kerberos來處理認證, 但是認證過程復雜. 認證可能授權給用戶,組,或者計算機。當OS檢查權限的時候,它也遵從同樣的過程: 本地目錄庫然后是網絡目錄. 比如, 用戶登錄, 系統先搜索本地看是否有相同用戶名賬戶;如果沒有發現, 它查找下一個在搜索路徑中可用的目錄服務,如果都沒有找到,那么登錄失敗. 如果找到了,它繼續查找你的賬戶的參考(信息), 比如組. 另外, Mac OS X還會查找匹配你計算機MAC地址的信息.
這一點很重要,一個目錄服務客戶(也就是Mac OS X)無法從多個目錄中提取同一個目標(用戶)的信息(注*). 例如,如果一個用戶使用AD認證登錄, 這個用戶的所有信息都來自該AD-無法從另外一個AD分配給該用戶的管理信息或者Home目錄位置。當系統查找包含該用戶的組時,它會繼續查找所有的目錄 (因為,組是用戶之外的一個對象). 如果你的OD是除AD之外的另一個搜索路徑, 登錄的AD用戶又屬于OD的一個組, 系統會強制實施OD組的規則. 計算機記錄可以提供另外一層的管理.
關于用戶組和計算機的詳細管理細則將在下節討論, 本節將解釋如何配置Mac OS X服務器的主OD服從AD,和配置客戶端來使用雙目錄架構.
注*: Leopard服務器引入了可擴展的記錄,也就是允許Mac OS X管理員從AD引入用戶賬號到OD中, 并且擴展它們包含非AD本身的屬性, 比如MCX設置. 如果Mac OS X僅僅綁定到有擴展記錄的Mac OS X服務器,這樣,用戶就是一個從兩個不同目錄服務管理的屬性的單一對象. 在第8節中講述使用擴展記錄信息來覆蓋AD的Home目錄信息. 參考本文最后的部分有關擴展記錄信息的文檔.
A. Mac OS X服務器設置
為 了獲得AD用戶,你的主OD服務器必須綁定到AD服務器. 另外, 如果希望在另外一個Mac OS X服務器上提供Kerberos化的服務,如AFP, FTP或Mail, 你必須在這些服務和Kerberos realm間建立信任關系, 從而實現SSO(Single-Sing-on).
下面的順序特別重要, 要想成為從屬的目錄系統,必須首先綁定到AD, 然后, 使用Server Admin升級你的OD服務器為一個主OD. 從屬服務器會自動判定和配置來遵從AD. 請參考OD管理員手冊中的"混合AD和主OD以及復制服務"一節.
1. 應用第6節的講述來綁定Mac OS X服務器到AD. 綁定過程中,會有一個對話框出現,如下:
2. 忽略對話框中的指導, 因為在Server Admin中"Join Kerberos"和上面的不一樣. 在Terminal中運行下面的命令來配置在Mac OS X服務器中的Kerberos服務服從AD:
|
sudo dsconfigad -enableSSO
|
|
sudo klist -ke
|
4. 并檢查你的服務程序已經配置為使用AD Kerberos realm, 而不是自己的. AFP服務很容易檢查:
|
defaults read /Library/Preferences/com.apple.AppleFileServer kerberosPrincipal
|
應該可以看見你的AD服務器的realm在列表中. 如果沒有,解除綁定后重新綁定.
5. 使用2節中的方法, 提升Mac OS X服務器為主OD
6. 如果Home目錄在另外一個Mac OS X服務器上, 現在就把那個服務器綁定到AD, 并加入到AD Kerberos realm. 在AD插件的高級選項中, 檢查這個服務器沒有強迫使用本地Home目錄, 而是使用UNC路徑到網絡Home目錄.
7. 預先生成網絡Home目錄:
|
sudo createhomedir -s
|
B. 配置客戶端Directory Utility
客戶端的配置就是混合綁定到OD和AD. 注意順序很重要, 先綁定OD并檢查OD在搜索策略欄的第一個, 如果它不是第一個, 設置可能沒配置對, 那么擴展的記錄將被忽略.
1. 綁定客戶端到主OD(第3節)
2. 使用AD插件綁定客戶端到AD
C. 配置OD組
如 果AD管理員沒有擴展AD架構來支持擴展的用戶屬性來支持Mac OS X的用戶管理, 那么你無法管理用戶. 同樣, 你也無法管理Mac OS X組,如果僅使用AD管理而擴展組屬性沒有得到AD的支持. 如果你建立了雙目錄服務, 那么你可以基于OD的組來管理用戶和組.
Mac OS X支持嵌套的組, 也就是可以識別組中組. 如果你希望用AD組管理用戶, 你可以在OD中建立組,然后把AD用戶和組添加到里面. AD的用戶和組實際上還是存在AD中, 而OD組只是包括了它們的一個參考. OD組可以提供附加的AD不支持的管理信息.
1. 運行Workgroup Manager并用diradmin用戶連接到主OD. 確認工作在LDAPv3節點.
2. 點擊組并創建一個新組.
3. 點擊"Members"標簽, 然后是"+"按鈕以打開用戶和組抽屜. 在上面選擇AD節點, AD的用戶和組將顯示在列表中. 選擇一些用戶賬號(包括你自己), 并拖動它們到組成員表中, 然后點擊組標簽來添加一些組. 現在有了一個以AD用戶和組為成員的OD組, 同樣, 并沒有復制這些AD用戶和組, 而只是它們的參考, 所以沒有必要做同步工作. 保存.
4. 可以寫另外一本書來介紹管理這些配置, 這里不詳述,但是你應該至少變更一個,來檢查這個組的管理工作. 確認選定那個組, 然后點擊在工具欄中的Preferences按鈕. 點擊"Dock"按鈕, 在"Dock Display"標簽中, 設置"Manage these settings"為“Always”和"Position on screen"為"Right".
D. 配置OD計算機列表
這一步是可選的--可以僅僅使用組來管理用戶. 計算機表管理方式比較方便,尤其是當你管理數千用戶或者依據計算機的位置來管理的方式.
1. 在WGM(譯者注:Workgroup Manager)里, 點擊工具欄中的賬號按鈕, 然后點擊計算機組標簽(那個兩個方框的標簽).
2. 創建一個新計算機表, 叫它"Test Lab", 點擊"Members"標簽, 然后點擊省略符. 在網絡瀏覽窗口里可以添加你的子網中的計算機到列表中.
3. 點擊工具欄中的Preferences按鈕. 最一般的管理任務是限制哪一個用戶和用戶組可以使用哪一個組的計算機. 可以使用計算機組來實現. 點擊"Login"按鈕, 然后是"Access"標簽.
4. 點擊"Always"選項, 然后是"+"來添加用戶/用戶組到"Access Control List". 添加完畢之后, 點擊"Apply Now"來保存.
E. 在客戶端登錄來測試雙目錄設置
1. 使用AD賬戶登錄, 注意你的Dock應該在屏幕右邊.
2. 登出再用另外一個管理員組用戶登錄(參考Directory Utility的AD插件), 因為它是一個管理員組成員,所以登錄時系統提示可以不使用組管理(WGM)
3. 登出,使用另外一個不屬于OD組的用戶, 這個用戶將被禁止登錄.
4. 復習第4節的B,并檢查當前登錄用戶獲得的Kerberos證書
5. 在主OD上打開AFP和SMB. 在客戶端, 使用AFP和SMB安裝一個共享(對于SMB, 必須明示"http://your.server.edu"), 再檢查Kerberos證書, 這個功能會在第10節中詳細涉及.
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
