7. 使用OD+AD管理用戶組和計算機

對于AD管理員不愿意把現(xiàn)有的AD架構(gòu)擴展到支持Mac OS X的特定屬性的情況很普遍. 在Windows 2000服務(wù)器上，這個很容易理解, 因為AD架構(gòu)的變更是不可逆的, 這樣一旦犯錯,除非你重建全部AD架構(gòu)，否則前功盡棄. 在Windows 2003服務(wù)器上, 你可以撤消變更. 所以，這一點明顯改變了，AD架構(gòu)的改變不再復(fù)雜和重負的。

因此, Mac管理員更愿意把基本的認證和AD集成, 但是AD并不能提供最大控制, 比如控制FInder的屬性和／或應(yīng)用程序的存取控制等. 有一個幸運的妥協(xié)方式. 這一節(jié)我們就探討如何建立AD和OD的交叉認證平臺從而利用用戶組和計算機表來提供(最大)管理.

為了理解雙目錄管理如何工作，理解使用LDAP容器是關(guān)鍵. 簡便起見, 我將限制在對三個容器的討論：用戶，組，和計算機。

當用戶登錄時，將發(fā)生下面的事情：

4. 并檢查你的服務(wù)程序已經(jīng)配置為使用AD Kerberos realm, 而不是自己的. AFP服務(wù)很容易檢查:

應(yīng)該可以看見你的AD服務(wù)器的realm在列表中. 如果沒有，解除綁定后重新綁定.

5. 使用2節(jié)中的方法, 提升Mac OS X服務(wù)器為主OD

6. 如果Home目錄在另外一個Mac OS X服務(wù)器上, 現(xiàn)在就把那個服務(wù)器綁定到AD, 并加入到AD Kerberos realm. 在AD插件的高級選項中, 檢查這個服務(wù)器沒有強迫使用本地Home目錄, 而是使用UNC路徑到網(wǎng)絡(luò)Home目錄.

7. 預(yù)先生成網(wǎng)絡(luò)Home目錄:

B. 配置客戶端Directory Utility

客戶端的配置就是混合綁定到OD和AD. 注意順序很重要, 先綁定OD并檢查OD在搜索策略欄的第一個, 如果它不是第一個, 設(shè)置可能沒配置對, 那么擴展的記錄將被忽略.
1. 綁定客戶端到主OD(第3節(jié))
2. 使用AD插件綁定客戶端到AD

C. 配置OD組

如 果AD管理員沒有擴展AD架構(gòu)來支持擴展的用戶屬性來支持Mac OS X的用戶管理, 那么你無法管理用戶. 同樣, 你也無法管理Mac OS X組，如果僅使用AD管理而擴展組屬性沒有得到AD的支持. 如果你建立了雙目錄服務(wù), 那么你可以基于OD的組來管理用戶和組.

Mac OS X支持嵌套的組, 也就是可以識別組中組. 如果你希望用AD組管理用戶, 你可以在OD中建立組，然后把AD用戶和組添加到里面. AD的用戶和組實際上還是存在AD中, 而OD組只是包括了它們的一個參考. OD組可以提供附加的AD不支持的管理信息.

1. 運行Workgroup Manager并用diradmin用戶連接到主OD. 確認工作在LDAPv3節(jié)點.

2. 點擊組并創(chuàng)建一個新組.

3. 點擊"Members"標簽, 然后是"+"按鈕以打開用戶和組抽屜. 在上面選擇AD節(jié)點, AD的用戶和組將顯示在列表中. 選擇一些用戶賬號(包括你自己), 并拖動它們到組成員表中, 然后點擊組標簽來添加一些組. 現(xiàn)在有了一個以AD用戶和組為成員的OD組, 同樣, 并沒有復(fù)制這些AD用戶和組, 而只是它們的參考, 所以沒有必要做同步工作. 保存.

4. 可以寫另外一本書來介紹管理這些配置, 這里不詳述，但是你應(yīng)該至少變更一個，來檢查這個組的管理工作. 確認選定那個組, 然后點擊在工具欄中的Preferences按鈕. 點擊"Dock"按鈕, 在"Dock Display"標簽中, 設(shè)置"Manage these settings"為“Always”和"Position on screen"為"Right".

D. 配置OD計算機列表

這一步是可選的--可以僅僅使用組來管理用戶. 計算機表管理方式比較方便，尤其是當你管理數(shù)千用戶或者依據(jù)計算機的位置來管理的方式.

1. 在WGM(譯者注:Workgroup Manager)里, 點擊工具欄中的賬號按鈕, 然后點擊計算機組標簽(那個兩個方框的標簽).

2. 創(chuàng)建一個新計算機表, 叫它"Test Lab", 點擊"Members"標簽, 然后點擊省略符. 在網(wǎng)絡(luò)瀏覽窗口里可以添加你的子網(wǎng)中的計算機到列表中.

3. 點擊工具欄中的Preferences按鈕. 最一般的管理任務(wù)是限制哪一個用戶和用戶組可以使用哪一個組的計算機. 可以使用計算機組來實現(xiàn). 點擊"Login"按鈕, 然后是"Access"標簽.

4. 點擊"Always"選項, 然后是"+"來添加用戶/用戶組到"Access Control List". 添加完畢之后, 點擊"Apply Now"來保存.

E. 在客戶端登錄來測試雙目錄設(shè)置

1. 使用AD賬戶登錄, 注意你的Dock應(yīng)該在屏幕右邊.
2. 登出再用另外一個管理員組用戶登錄(參考Directory Utility的AD插件), 因為它是一個管理員組成員，所以登錄時系統(tǒng)提示可以不使用組管理(WGM)
3. 登出，使用另外一個不屬于OD組的用戶, 這個用戶將被禁止登錄.
4. 復(fù)習(xí)第4節(jié)的B，并檢查當前登錄用戶獲得的Kerberos證書
5. 在主OD上打開AFP和SMB. 在客戶端, 使用AFP和SMB安裝一個共享(對于SMB, 必須明示"http://your.server.edu"), 再檢查Kerberos證書, 這個功能會在第10節(jié)中詳細涉及.

Mac OS X Leopard與目錄服務(wù)(AD/OD)集成寶典(7)