7. 使用OD+AD管理用戶組和計(jì)算機(jī)
對(duì)于AD管理員不愿意把現(xiàn)有的AD架構(gòu)擴(kuò)展到支持Mac OS X的特定屬性的情況很普遍. 在Windows 2000服務(wù)器上,這個(gè)很容易理解, 因?yàn)锳D架構(gòu)的變更是不可逆的, 這樣一旦犯錯(cuò),除非你重建全部AD架構(gòu),否則前功盡棄. 在Windows 2003服務(wù)器上, 你可以撤消變更. 所以,這一點(diǎn)明顯改變了,AD架構(gòu)的改變不再?gòu)?fù)雜和重負(fù)的。
因此, Mac管理員更愿意把基本的認(rèn)證和AD集成, 但是AD并不能提供最大控制, 比如控制FInder的屬性和/或應(yīng)用程序的存取控制等. 有一個(gè)幸運(yùn)的妥協(xié)方式. 這一節(jié)我們就探討如何建立AD和OD的交叉認(rèn)證平臺(tái)從而利用用戶組和計(jì)算機(jī)表來(lái)提供(最大)管理.
為了理解雙目錄管理如何工作,理解使用LDAP容器是關(guān)鍵. 簡(jiǎn)便起見, 我將限制在對(duì)三個(gè)容器的討論:用戶,組,和計(jì)算機(jī)。
當(dāng)用戶登錄時(shí),將發(fā)生下面的事情:
- 認(rèn)證(用戶名+密碼檢查)
- 授權(quán)使用該計(jì)算機(jī)
- 這個(gè)用戶是否屬于一個(gè)準(zhǔn)許使用該計(jì)算機(jī)的組?
- 對(duì)這個(gè)計(jì)算機(jī)用戶和組有沒(méi)有特殊限制?
- 授權(quán)訪問(wèn)網(wǎng)絡(luò)資源(例如存取網(wǎng)絡(luò)Home目錄)
操 作系統(tǒng)使用Kerberos來(lái)處理認(rèn)證, 但是認(rèn)證過(guò)程復(fù)雜. 認(rèn)證可能授權(quán)給用戶,組,或者計(jì)算機(jī)。當(dāng)OS檢查權(quán)限的時(shí)候,它也遵從同樣的過(guò)程: 本地目錄庫(kù)然后是網(wǎng)絡(luò)目錄. 比如, 用戶登錄, 系統(tǒng)先搜索本地看是否有相同用戶名賬戶;如果沒(méi)有發(fā)現(xiàn), 它查找下一個(gè)在搜索路徑中可用的目錄服務(wù),如果都沒(méi)有找到,那么登錄失敗. 如果找到了,它繼續(xù)查找你的賬戶的參考(信息), 比如組. 另外, Mac OS X還會(huì)查找匹配你計(jì)算機(jī)MAC地址的信息.
這一點(diǎn)很重要,一個(gè)目錄服務(wù)客戶(也就是Mac OS X)無(wú)法從多個(gè)目錄中提取同一個(gè)目標(biāo)(用戶)的信息(注*). 例如,如果一個(gè)用戶使用AD認(rèn)證登錄, 這個(gè)用戶的所有信息都來(lái)自該AD-無(wú)法從另外一個(gè)AD分配給該用戶的管理信息或者Home目錄位置。當(dāng)系統(tǒng)查找包含該用戶的組時(shí),它會(huì)繼續(xù)查找所有的目錄 (因?yàn)椋M是用戶之外的一個(gè)對(duì)象). 如果你的OD是除AD之外的另一個(gè)搜索路徑, 登錄的AD用戶又屬于OD的一個(gè)組, 系統(tǒng)會(huì)強(qiáng)制實(shí)施OD組的規(guī)則. 計(jì)算機(jī)記錄可以提供另外一層的管理.
關(guān)于用戶組和計(jì)算機(jī)的詳細(xì)管理細(xì)則將在下節(jié)討論, 本節(jié)將解釋如何配置Mac OS X服務(wù)器的主OD服從AD,和配置客戶端來(lái)使用雙目錄架構(gòu).
注*: Leopard服務(wù)器引入了可擴(kuò)展的記錄,也就是允許Mac OS X管理員從AD引入用戶賬號(hào)到OD中, 并且擴(kuò)展它們包含非AD本身的屬性, 比如MCX設(shè)置. 如果Mac OS X僅僅綁定到有擴(kuò)展記錄的Mac OS X服務(wù)器,這樣,用戶就是一個(gè)從兩個(gè)不同目錄服務(wù)管理的屬性的單一對(duì)象. 在第8節(jié)中講述使用擴(kuò)展記錄信息來(lái)覆蓋AD的Home目錄信息. 參考本文最后的部分有關(guān)擴(kuò)展記錄信息的文檔.
A. Mac OS X服務(wù)器設(shè)置
為 了獲得AD用戶,你的主OD服務(wù)器必須綁定到AD服務(wù)器. 另外, 如果希望在另外一個(gè)Mac OS X服務(wù)器上提供Kerberos化的服務(wù),如AFP, FTP或Mail, 你必須在這些服務(wù)和Kerberos realm間建立信任關(guān)系, 從而實(shí)現(xiàn)SSO(Single-Sing-on).
下面的順序特別重要, 要想成為從屬的目錄系統(tǒng),必須首先綁定到AD, 然后, 使用Server Admin升級(jí)你的OD服務(wù)器為一個(gè)主OD. 從屬服務(wù)器會(huì)自動(dòng)判定和配置來(lái)遵從AD. 請(qǐng)參考OD管理員手冊(cè)中的"混合AD和主OD以及復(fù)制服務(wù)"一節(jié).
1. 應(yīng)用第6節(jié)的講述來(lái)綁定Mac OS X服務(wù)器到AD. 綁定過(guò)程中,會(huì)有一個(gè)對(duì)話框出現(xiàn),如下:
2. 忽略對(duì)話框中的指導(dǎo), 因?yàn)樵赟erver Admin中"Join Kerberos"和上面的不一樣. 在Terminal中運(yùn)行下面的命令來(lái)配置在Mac OS X服務(wù)器中的Kerberos服務(wù)服從AD:
|
sudo dsconfigad -enableSSO
|
|
sudo klist -ke
|
4. 并檢查你的服務(wù)程序已經(jīng)配置為使用AD Kerberos realm, 而不是自己的. AFP服務(wù)很容易檢查:
|
defaults read /Library/Preferences/com.apple.AppleFileServer kerberosPrincipal
|
應(yīng)該可以看見你的AD服務(wù)器的realm在列表中. 如果沒(méi)有,解除綁定后重新綁定.
5. 使用2節(jié)中的方法, 提升Mac OS X服務(wù)器為主OD
6. 如果Home目錄在另外一個(gè)Mac OS X服務(wù)器上, 現(xiàn)在就把那個(gè)服務(wù)器綁定到AD, 并加入到AD Kerberos realm. 在AD插件的高級(jí)選項(xiàng)中, 檢查這個(gè)服務(wù)器沒(méi)有強(qiáng)迫使用本地Home目錄, 而是使用UNC路徑到網(wǎng)絡(luò)Home目錄.
7. 預(yù)先生成網(wǎng)絡(luò)Home目錄:
|
sudo createhomedir -s
|
B. 配置客戶端Directory Utility
客戶端的配置就是混合綁定到OD和AD. 注意順序很重要, 先綁定OD并檢查OD在搜索策略欄的第一個(gè), 如果它不是第一個(gè), 設(shè)置可能沒(méi)配置對(duì), 那么擴(kuò)展的記錄將被忽略.
1. 綁定客戶端到主OD(第3節(jié))
2. 使用AD插件綁定客戶端到AD
C. 配置OD組
如 果AD管理員沒(méi)有擴(kuò)展AD架構(gòu)來(lái)支持?jǐn)U展的用戶屬性來(lái)支持Mac OS X的用戶管理, 那么你無(wú)法管理用戶. 同樣, 你也無(wú)法管理Mac OS X組,如果僅使用AD管理而擴(kuò)展組屬性沒(méi)有得到AD的支持. 如果你建立了雙目錄服務(wù), 那么你可以基于OD的組來(lái)管理用戶和組.
Mac OS X支持嵌套的組, 也就是可以識(shí)別組中組. 如果你希望用AD組管理用戶, 你可以在OD中建立組,然后把AD用戶和組添加到里面. AD的用戶和組實(shí)際上還是存在AD中, 而OD組只是包括了它們的一個(gè)參考. OD組可以提供附加的AD不支持的管理信息.
1. 運(yùn)行Workgroup Manager并用diradmin用戶連接到主OD. 確認(rèn)工作在LDAPv3節(jié)點(diǎn).
2. 點(diǎn)擊組并創(chuàng)建一個(gè)新組.
3. 點(diǎn)擊"Members"標(biāo)簽, 然后是"+"按鈕以打開用戶和組抽屜. 在上面選擇AD節(jié)點(diǎn), AD的用戶和組將顯示在列表中. 選擇一些用戶賬號(hào)(包括你自己), 并拖動(dòng)它們到組成員表中, 然后點(diǎn)擊組標(biāo)簽來(lái)添加一些組. 現(xiàn)在有了一個(gè)以AD用戶和組為成員的OD組, 同樣, 并沒(méi)有復(fù)制這些AD用戶和組, 而只是它們的參考, 所以沒(méi)有必要做同步工作. 保存.
4. 可以寫另外一本書來(lái)介紹管理這些配置, 這里不詳述,但是你應(yīng)該至少變更一個(gè),來(lái)檢查這個(gè)組的管理工作. 確認(rèn)選定那個(gè)組, 然后點(diǎn)擊在工具欄中的Preferences按鈕. 點(diǎn)擊"Dock"按鈕, 在"Dock Display"標(biāo)簽中, 設(shè)置"Manage these settings"為“Always”和"Position on screen"為"Right".
D. 配置OD計(jì)算機(jī)列表
這一步是可選的--可以僅僅使用組來(lái)管理用戶. 計(jì)算機(jī)表管理方式比較方便,尤其是當(dāng)你管理數(shù)千用戶或者依據(jù)計(jì)算機(jī)的位置來(lái)管理的方式.
1. 在WGM(譯者注:Workgroup Manager)里, 點(diǎn)擊工具欄中的賬號(hào)按鈕, 然后點(diǎn)擊計(jì)算機(jī)組標(biāo)簽(那個(gè)兩個(gè)方框的標(biāo)簽).
2. 創(chuàng)建一個(gè)新計(jì)算機(jī)表, 叫它"Test Lab", 點(diǎn)擊"Members"標(biāo)簽, 然后點(diǎn)擊省略符. 在網(wǎng)絡(luò)瀏覽窗口里可以添加你的子網(wǎng)中的計(jì)算機(jī)到列表中.
3. 點(diǎn)擊工具欄中的Preferences按鈕. 最一般的管理任務(wù)是限制哪一個(gè)用戶和用戶組可以使用哪一個(gè)組的計(jì)算機(jī). 可以使用計(jì)算機(jī)組來(lái)實(shí)現(xiàn). 點(diǎn)擊"Login"按鈕, 然后是"Access"標(biāo)簽.
4. 點(diǎn)擊"Always"選項(xiàng), 然后是"+"來(lái)添加用戶/用戶組到"Access Control List". 添加完畢之后, 點(diǎn)擊"Apply Now"來(lái)保存.
E. 在客戶端登錄來(lái)測(cè)試雙目錄設(shè)置
1. 使用AD賬戶登錄, 注意你的Dock應(yīng)該在屏幕右邊.
2. 登出再用另外一個(gè)管理員組用戶登錄(參考Directory Utility的AD插件), 因?yàn)樗且粋€(gè)管理員組成員,所以登錄時(shí)系統(tǒng)提示可以不使用組管理(WGM)
3. 登出,使用另外一個(gè)不屬于OD組的用戶, 這個(gè)用戶將被禁止登錄.
4. 復(fù)習(xí)第4節(jié)的B,并檢查當(dāng)前登錄用戶獲得的Kerberos證書
5. 在主OD上打開AFP和SMB. 在客戶端, 使用AFP和SMB安裝一個(gè)共享(對(duì)于SMB, 必須明示"http://your.server.edu"), 再檢查Kerberos證書, 這個(gè)功能會(huì)在第10節(jié)中詳細(xì)涉及.
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
