6. AD集成
活動目錄AD是一種定制的LDAP目錄服務(wù), Mac OS X可以使用LDAPv3插件(plugins)或者AD插件來利用AD進(jìn)行認(rèn)證. 不象主OD, 客戶端OS X并不能預(yù)先了解每一個AD服務(wù)的架構(gòu)的實施情況, 因此, 使用LDAPv3插件要求更多的設(shè)置, 而且也需要(管理員)更多了解AD的屬性(和LDAPv3屬性之間)對應(yīng)關(guān)系. 另一方面, AD插件就如同Windows客戶端一樣, 可以在特定的域森林中自動發(fā)現(xiàn)域控制器(Domain Controllers)并對AD和Mac OS X客戶端信息匹配.
這一節(jié)主要介紹利用配置AD插件來匹配AD服務(wù)器. 這一節(jié)的最后一頁有一個檢查列表, 用于檢查跟蹤AD的設(shè)置.
A. 感受AD
在進(jìn)入AD綁定之前, 最好是檢查你可以連接和找到目錄服務(wù). 我們使用"LDapper"來瀏覽可用目錄服務(wù).
1. 啟動LDapper應(yīng)用(你可以到versiontracker.com下載)(譯者注:為了方便國內(nèi)用戶,我上傳了最新版LDapper Ver2.0.4到CSDN的資源里面, http://download.csdn.net/source/1038331)
2. 在LDapper菜單中選擇"Preferences",點擊"+"按鈕添加一個新的目錄服務(wù). 按照你的AD環(huán)境配置目錄.
3. AD默認(rèn)不允許匿名綁定,所以點擊"Authentication", 輸入一個有加入計算機(jī)到域("Join a computer to the domain")權(quán)限的用戶和密碼. 你可能需要特殊的 AD用戶賬戶, 象:
| cn=Bind Account,cn=Users,dc=apple,dc=edu |
4. 點擊OK, 在"Default Search Options"里,選擇獲取"All Attributes",取消"Discard responses without email"和"Search for people only"選項. 點擊OK,關(guān)閉preferences窗口.
5. 從File菜單選擇"New Browse Window",在你的AD旁邊點擊展開三角來瀏覽用戶記錄. 點擊其中一個記錄來查看其中內(nèi)容.
用戶記錄顯示,都有那些可用的用戶記錄存在于AD服務(wù)器. 這個工具對于映射LDAPv3插件時非常有用,而且當(dāng)你希望檢查那個特殊的名字可以用來進(jìn)行計算機(jī)賬號綁定.
6. 在LDapper的Preferences里面設(shè)置你的計算機(jī)所屬OU作為搜索基礎(chǔ). 打開一個新的瀏覽窗口,來瀏覽計算記錄.
B. 配置AD插件
因為AD插件利用DNS來定位AD資源, 所以要進(jìn)行一個小配置. 使用你的AD管理員提供的設(shè)置,或者參見本文最后一頁的說明。
1. 啟動Directory Utility應(yīng)用.
2. 為了顯示更多的AD插件的配置選項,需要使用高級選項. 點擊"Show Advanced Settings"按鈕, 然后點擊"Services"按鈕.
3. 如果需要就登錄,打開Active Directory服務(wù), 并點擊下面的鉛筆按鈕.
4. 填入域名和計算機(jī)ID, 然后點擊"Bind"按鈕,輸入AD賬號和密碼(由AD管理員提供). 謹(jǐn)慎考慮你的計算機(jī)所屬OU, 默認(rèn)的OU可能不存在, 或者不合適,或者沒有權(quán)限. 綁定會失敗,如果你的賬號在該OU中沒有寫權(quán)限, 所以向AD管理員詢問哪個OU合適. 而且計算機(jī)名不能長于19個字符. 一般來說, 最好取DNS主機(jī)名的前面部分. 如果你是用雙啟動, 那么記住Mac OS X和Windows要使用各自唯一的ID.
5. 點擊"Show Advanced Options"按鈕. 考慮下面在User Experiences標(biāo)簽的選項:
- "Create mobile account": 因為客戶機(jī)將緩存登錄的用戶證書在本地,所以這有利于在家中使用的用戶.
- "Force local home": 如果你的AD沒有指定用戶的Home目錄,或者你不希望用戶使用網(wǎng)絡(luò)Home目錄, 那么這項應(yīng)該選中。
- "Use UNC path from Active Directory to derive home location": 如果你的AD賬號設(shè)置了Home目錄, 那么這個選項將準(zhǔn)許把這個值,轉(zhuǎn)化為一個URL以便在用戶登錄的時候安裝這個共享. 如果協(xié)議沒有被正確設(shè)置,那么當(dāng)用戶登錄的時候會產(chǎn)生錯誤.
6. 考慮在Administrative標(biāo)簽下的選項:
- "Prefer this fomain server": 如果有一個優(yōu)選的服務(wù)器,在這里設(shè)置。如果這個服務(wù)器無法連通,AD插件會自動選找另一個在域森林中的服務(wù)器. 默認(rèn)的,AD插件會自動連接最近的一個AD域服務(wù)器.
- "Allow administration by": 這個選項準(zhǔn)許設(shè)定哪個AD組的成員可以獲得這個機(jī)器本地的管理員權(quán)限.
- "Allow authentication from any doamin within the forest": 如果域森林包括多個域, 它準(zhǔn)許AD插件在域森林中擴(kuò)展搜索用戶記錄,以使其它域的用戶可以在本機(jī)登錄.
7. 當(dāng)綁定結(jié)束后, 返回LDapper程序,在計算機(jī)容器中找到你的計算機(jī)記錄.
8. 返回Directory Utility,點擊OK來關(guān)閉AD插件窗口.
9. 點擊"Directory Servers"按鈕, 如果你的機(jī)器按照前面的練習(xí)配置了,那么在服務(wù)器列表中刪除它. 應(yīng)用之后,關(guān)閉Directory Utility.
C. 檢查目錄連接性
1. 在Terminal中, 使用dscl命令來便覽AD節(jié)點和用戶記錄。不要鍵入提示符:
|
client:~ admin# dscl localhost
/ > cd Active/ Directory/All/ Domains/ /Active Directory/All Domains > cd Users/ /Active Directory/All Domains/Users > ls administrator binder guest krbtgt labadmin student /Active Directory/All Domains/Users > read student ... |
2. 或者,可以輸入?yún)?shù)來讀取比如student用戶信息:
|
% dscl /Active/ Directory/All/ Domains -read /Users/student
ADDomain: apple.edu cn: Student Account displayName: Student Account distinguishedName: CN=Student Account,CN=Users,DC=apple,DC=ed u givenName: Student homeDirectory: homeDrive: name: Student Account primaryGroupID: 513 sAMAccountName: student sAMAccountType: 805306368 sn: Account userPrincipalName: student@apple.edu AppleMetaNodeLocation: /Active Directory/apple.edu AuthenticationAuthority: 1.0;Kerberosv5;86C47B88-6506-4F64- 8E1D-73A74071A391;student@APPLE.EDU;APPLE.EDU; FirstName: Student GeneratedUID: 86C47B88-6506-4F64-8E1D-73A74071A391 NFSHomeDirectory: /Users/student LastName: Account PasswordPlus: ******** PrimaryGroupID: 20 RealName: Student Account RecordName: student student@apple.edu APPLE/student SMBAccountFlags: 805306368 SMBGroupRID: 513 SMBHome: SMBHomeDrive: SMBLogoffTime: 0 SMBLogonTime: 127515826632546368 SMBPasswordLastSet: 127515390413065200 UniqueID: 113539976 |
3. 使用上面的dscl命令讀AD插件產(chǎn)生的AD用戶信息,并用LDapper顯示的內(nèi)容來對比. AD插件根據(jù)其它的用戶信息產(chǎn)生一些動態(tài)屬性. 比如: "NFSHomeDirectory", "UniqueID"和"PrimaryGroupID"等.
D. Home目錄和AD插件
默 認(rèn)的, Ad插件會在本地的/Users目錄里面產(chǎn)生一個用戶Home目錄并且在Desktop上通過SMB產(chǎn)生Windows網(wǎng)絡(luò)共享. 你可以在AD插件的"Advanced Options->User Expereice"里面配置這個操作, 同樣可以使用命令行工具dsconfigad. 詳細(xì)的關(guān)于dsconfigad的說明見知識庫文章
"Using network homes with the Active Directory plug-in for Mac OS X 10.3.3 or later"
(http://docs.info.apple.com/article.html?artnum=107943)
到 目前為止,我們該思考一下"Using a Network Home Directory"和"Mounting network home at login"的區(qū)別了. 看上去它們類似, 而主要區(qū)別在于,是把用戶Home目錄安裝到網(wǎng)絡(luò)共享,還是用戶Home目錄在本地然后再在Desktop上安裝網(wǎng)絡(luò)共享. 對于網(wǎng)絡(luò)Home目錄, 用戶所有的文檔和配置信息,都直接存放在服務(wù)器上. 而對于安裝的網(wǎng)絡(luò)Home,配置信息自動存放本地,用戶必須手動把文檔保存在網(wǎng)絡(luò)Home里,否則可能丟失.
網(wǎng)絡(luò)Home目錄對于學(xué)生來 說很好用,但是管理時可能頭痛. 好多程序在啟動時生成緩存文件. 如果好多學(xué)生同時登錄并運行好多程序, 你的服務(wù)器(負(fù)載)和網(wǎng)絡(luò)流量會大增. 如果使用無線或者低速連接, 或者使用如iLife的多媒體程序,那么強(qiáng)烈建議避免使用網(wǎng)絡(luò)Home目錄而是把Home目錄安裝在Desktop上(譯者注:用戶手動復(fù)制文檔到服務(wù)器 上).
移動的Home(Portable home Directory, PHD)目錄是混合上面兩者的方案. 一個PHD會在本地產(chǎn)生一個網(wǎng)絡(luò)Home目錄的副本,然后在登錄和登出時同步改變. 當(dāng)用戶找好由AD管理, 且AD架構(gòu)是擴(kuò)展的, 那么PHD可以通過用戶管理來配置,或者通過組或計算機(jī)管理配置. 參見第7章的組和計算機(jī)管理和第8章的用戶管理部分和Apple官方文檔:http://www.apple.com/server/macosx /resources/
另外一個可以考慮的方案是考慮AD插件在AD用戶記錄保存的屬性, 一般地不會被各個部門修改的. 在一個大型的大學(xué)校園, 對于管理員來說很難為各個部門提供存儲空間. 在第9章中的"增長的記錄"會考慮這個方案.
E. AD綁定自動化
當(dāng) 把計算機(jī)綁定到AD, 隨著在AD插件提供的唯一的計算機(jī)ID,一個計算機(jī)賬號會被生成. 由于這個計算機(jī)和域建立了互信關(guān)系,每個綁定到AD域的計算機(jī)必須右唯一的賬號. 對于一個管理大型實驗室或者數(shù)百計算機(jī)的管理員來說是一個挑戰(zhàn). 為了解決它,Mac OS X提供了一個自動綁定的工具. "dsconfigad"可以綁定計算機(jī)到AD并配置所有AD插件的行為.
提 醒, 自動綁定過程需要你把賬戶密碼保存在shell腳本中, 這明顯預(yù)示著安全問題. 為了降低危險, 1)使用一個受限的賬號僅用來添加計算機(jī), 2) 經(jīng)常改變密碼, 3)限制可以解除shell腳本的人, 4)刪除shell歷史文件. 下面的命令假設(shè)你使用前置"sudo"引導(dǎo),或者在一個shell腳本中用root權(quán)限.
1. 閱讀dsconfigad的man幫助。
2. 使用下面命令查看當(dāng)前狀態(tài):
|
dsconfigad -show
|
3. 如果已經(jīng)綁定了AD, 銷毀它.
|
dsconfigad -r -u binder -p 'password'
|
4. 使用下面的語法來綁定AD
|
dsconfigad -f -a "computerid" -domain "apple.edu" -u "binder" -p 'password' -ou "CN=computers, DC=apple,DC=edu"
|
5. 使用下面語句來配置高級選項:
|
dsconfigad -alldomain enable -localhome enable /
-protocol afp -mobile disable -mobileconfirm disable / -useuncpath enable -shell "/bin/bash" -nopreferred / -groups 'APPLE/Lab Administratores' |
6. 添加Ad節(jié)點到搜索路徑使用dscl命令:
|
dscl /Search -create / SearchPolicy CSPSearchPath
dscl /Search -append / CSPSearchPath “/Active Directory/All Domains” dscl /Search/Contacts -create / SearchPolicy CSPSearchPath dscl /Search/Contacts -append / CSPSearchPath “/Active Directory/All Domains” |
目 錄綁定必須在OS啟動時產(chǎn)生,也就是說, 目錄綁定不能在部署系統(tǒng)鏡象的后期動作中完成--綁定過程會變更在啟動卷(譯者注:原文是,boot drive.)的/Library/Preferences/DirectoryServices文件. 右兩種方式來做到在系統(tǒng)鏡象部署后自動綁定. 一個是生成一個強(qiáng)迫延遲運行的啟動項(startup item)綁定腳本(它將有一段時間來使DirectoryServices建立, 而loginwindow不會等待它完成). 另外一個方法是把綁定腳本作為login hook. 兩個方法都產(chǎn)生同樣效果, 而login hook方法會更強(qiáng)壯,因為你可以迫使loginwindow直到DirectoryServices準(zhǔn)備好后再顯示. 一個實例腳本在后面的參考一節(jié)中列出,它會完成綁定, 配置AD插件, 添加AD節(jié)點到搜索路徑, 禁止自動登錄(auto-login)和安全地自我刪除(和綁定密碼)
要實施login hook:
1. 安裝綁定腳本
2. 設(shè)置綁定腳本為login hook:
|
sudo defaults write /var/root/Library/Preferences/com.apple.loginwindow /
LoginHook /path/to/bind_script.sh |
3. 在Accounts的配置面板里的Login options,設(shè)置自動登錄到任意一個用戶.
F. AD插件排錯
除了所有在前面的OD的排錯都可以應(yīng)用到AD上,另外還有一些其它的事情考慮:
綁定問題:
- 確定客戶機(jī)和服務(wù)器的時鐘誤差不超過5分鐘. Kerberos認(rèn)證嚴(yán)格要求時間,建議所有機(jī)器都和同一個時間服務(wù)器同步時間.
- 確認(rèn)使用的網(wǎng)絡(luò)管理員賬戶在指定的計算機(jī)OU中有寫權(quán)限.
- 確認(rèn)使用的網(wǎng)絡(luò)管理員賬戶正確(使用sAMAccountName和密碼)
- 確認(rèn)客戶機(jī)使用和AD同樣的DNS服務(wù)器.AD管理員可以確認(rèn)這個.
- 確認(rèn)你可以和服務(wù)器的53,88,137,389和445端口通信.
"You are unable o login to the user account "Student" at this time..."
- 使用dsconfigad -show命令來看用戶的home目錄應(yīng)該被綁定.
-
然后使用dscl命令讀取用戶記錄:
dscl /Active/ Directory/All/ Doamins -read /Users/student - 確認(rèn)用戶的home目錄在哪里("HomeDirectory"屬性), 并檢查你可以使用指定的協(xié)議安裝這個共享.
- 如果需要,使用"dsconfigad -mountstyle AFP|SMB"來改變安裝協(xié)議.
其它的錯誤:
- 使用adcheck工具產(chǎn)看是否有其它錯誤。
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯(lián)系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機(jī)微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
