6. AD集成
活動目錄AD是一種定制的LDAP目錄服務, Mac OS X可以使用LDAPv3插件(plugins)或者AD插件來利用AD進行認證. 不象主OD, 客戶端OS X并不能預先了解每一個AD服務的架構的實施情況, 因此, 使用LDAPv3插件要求更多的設置, 而且也需要(管理員)更多了解AD的屬性(和LDAPv3屬性之間)對應關系. 另一方面, AD插件就如同Windows客戶端一樣, 可以在特定的域森林中自動發現域控制器(Domain Controllers)并對AD和Mac OS X客戶端信息匹配.
這一節主要介紹利用配置AD插件來匹配AD服務器. 這一節的最后一頁有一個檢查列表, 用于檢查跟蹤AD的設置.
A. 感受AD
在進入AD綁定之前, 最好是檢查你可以連接和找到目錄服務. 我們使用"LDapper"來瀏覽可用目錄服務.
1. 啟動LDapper應用(你可以到versiontracker.com下載)(譯者注:為了方便國內用戶,我上傳了最新版LDapper Ver2.0.4到CSDN的資源里面, http://download.csdn.net/source/1038331)
2. 在LDapper菜單中選擇"Preferences",點擊"+"按鈕添加一個新的目錄服務. 按照你的AD環境配置目錄.
3. AD默認不允許匿名綁定,所以點擊"Authentication", 輸入一個有加入計算機到域("Join a computer to the domain")權限的用戶和密碼. 你可能需要特殊的 AD用戶賬戶, 象:
| cn=Bind Account,cn=Users,dc=apple,dc=edu |
4. 點擊OK, 在"Default Search Options"里,選擇獲取"All Attributes",取消"Discard responses without email"和"Search for people only"選項. 點擊OK,關閉preferences窗口.
5. 從File菜單選擇"New Browse Window",在你的AD旁邊點擊展開三角來瀏覽用戶記錄. 點擊其中一個記錄來查看其中內容.
用戶記錄顯示,都有那些可用的用戶記錄存在于AD服務器. 這個工具對于映射LDAPv3插件時非常有用,而且當你希望檢查那個特殊的名字可以用來進行計算機賬號綁定.
6. 在LDapper的Preferences里面設置你的計算機所屬OU作為搜索基礎. 打開一個新的瀏覽窗口,來瀏覽計算記錄.
B. 配置AD插件
因為AD插件利用DNS來定位AD資源, 所以要進行一個小配置. 使用你的AD管理員提供的設置,或者參見本文最后一頁的說明。
1. 啟動Directory Utility應用.
2. 為了顯示更多的AD插件的配置選項,需要使用高級選項. 點擊"Show Advanced Settings"按鈕, 然后點擊"Services"按鈕.
3. 如果需要就登錄,打開Active Directory服務, 并點擊下面的鉛筆按鈕.
4. 填入域名和計算機ID, 然后點擊"Bind"按鈕,輸入AD賬號和密碼(由AD管理員提供). 謹慎考慮你的計算機所屬OU, 默認的OU可能不存在, 或者不合適,或者沒有權限. 綁定會失敗,如果你的賬號在該OU中沒有寫權限, 所以向AD管理員詢問哪個OU合適. 而且計算機名不能長于19個字符. 一般來說, 最好取DNS主機名的前面部分. 如果你是用雙啟動, 那么記住Mac OS X和Windows要使用各自唯一的ID.
5. 點擊"Show Advanced Options"按鈕. 考慮下面在User Experiences標簽的選項:
- "Create mobile account": 因為客戶機將緩存登錄的用戶證書在本地,所以這有利于在家中使用的用戶.
- "Force local home": 如果你的AD沒有指定用戶的Home目錄,或者你不希望用戶使用網絡Home目錄, 那么這項應該選中。
- "Use UNC path from Active Directory to derive home location": 如果你的AD賬號設置了Home目錄, 那么這個選項將準許把這個值,轉化為一個URL以便在用戶登錄的時候安裝這個共享. 如果協議沒有被正確設置,那么當用戶登錄的時候會產生錯誤.
6. 考慮在Administrative標簽下的選項:
- "Prefer this fomain server": 如果有一個優選的服務器,在這里設置。如果這個服務器無法連通,AD插件會自動選找另一個在域森林中的服務器. 默認的,AD插件會自動連接最近的一個AD域服務器.
- "Allow administration by": 這個選項準許設定哪個AD組的成員可以獲得這個機器本地的管理員權限.
- "Allow authentication from any doamin within the forest": 如果域森林包括多個域, 它準許AD插件在域森林中擴展搜索用戶記錄,以使其它域的用戶可以在本機登錄.
7. 當綁定結束后, 返回LDapper程序,在計算機容器中找到你的計算機記錄.
8. 返回Directory Utility,點擊OK來關閉AD插件窗口.
9. 點擊"Directory Servers"按鈕, 如果你的機器按照前面的練習配置了,那么在服務器列表中刪除它. 應用之后,關閉Directory Utility.
C. 檢查目錄連接性
1. 在Terminal中, 使用dscl命令來便覽AD節點和用戶記錄。不要鍵入提示符:
|
client:~ admin# dscl localhost
/ > cd Active/ Directory/All/ Domains/ /Active Directory/All Domains > cd Users/ /Active Directory/All Domains/Users > ls administrator binder guest krbtgt labadmin student /Active Directory/All Domains/Users > read student ... |
2. 或者,可以輸入參數來讀取比如student用戶信息:
|
% dscl /Active/ Directory/All/ Domains -read /Users/student
ADDomain: apple.edu cn: Student Account displayName: Student Account distinguishedName: CN=Student Account,CN=Users,DC=apple,DC=ed u givenName: Student homeDirectory: homeDrive: name: Student Account primaryGroupID: 513 sAMAccountName: student sAMAccountType: 805306368 sn: Account userPrincipalName: student@apple.edu AppleMetaNodeLocation: /Active Directory/apple.edu AuthenticationAuthority: 1.0;Kerberosv5;86C47B88-6506-4F64- 8E1D-73A74071A391;student@APPLE.EDU;APPLE.EDU; FirstName: Student GeneratedUID: 86C47B88-6506-4F64-8E1D-73A74071A391 NFSHomeDirectory: /Users/student LastName: Account PasswordPlus: ******** PrimaryGroupID: 20 RealName: Student Account RecordName: student student@apple.edu APPLE/student SMBAccountFlags: 805306368 SMBGroupRID: 513 SMBHome: SMBHomeDrive: SMBLogoffTime: 0 SMBLogonTime: 127515826632546368 SMBPasswordLastSet: 127515390413065200 UniqueID: 113539976 |
3. 使用上面的dscl命令讀AD插件產生的AD用戶信息,并用LDapper顯示的內容來對比. AD插件根據其它的用戶信息產生一些動態屬性. 比如: "NFSHomeDirectory", "UniqueID"和"PrimaryGroupID"等.
D. Home目錄和AD插件
默 認的, Ad插件會在本地的/Users目錄里面產生一個用戶Home目錄并且在Desktop上通過SMB產生Windows網絡共享. 你可以在AD插件的"Advanced Options->User Expereice"里面配置這個操作, 同樣可以使用命令行工具dsconfigad. 詳細的關于dsconfigad的說明見知識庫文章
"Using network homes with the Active Directory plug-in for Mac OS X 10.3.3 or later"
(http://docs.info.apple.com/article.html?artnum=107943)
到 目前為止,我們該思考一下"Using a Network Home Directory"和"Mounting network home at login"的區別了. 看上去它們類似, 而主要區別在于,是把用戶Home目錄安裝到網絡共享,還是用戶Home目錄在本地然后再在Desktop上安裝網絡共享. 對于網絡Home目錄, 用戶所有的文檔和配置信息,都直接存放在服務器上. 而對于安裝的網絡Home,配置信息自動存放本地,用戶必須手動把文檔保存在網絡Home里,否則可能丟失.
網絡Home目錄對于學生來 說很好用,但是管理時可能頭痛. 好多程序在啟動時生成緩存文件. 如果好多學生同時登錄并運行好多程序, 你的服務器(負載)和網絡流量會大增. 如果使用無線或者低速連接, 或者使用如iLife的多媒體程序,那么強烈建議避免使用網絡Home目錄而是把Home目錄安裝在Desktop上(譯者注:用戶手動復制文檔到服務器 上).
移動的Home(Portable home Directory, PHD)目錄是混合上面兩者的方案. 一個PHD會在本地產生一個網絡Home目錄的副本,然后在登錄和登出時同步改變. 當用戶找好由AD管理, 且AD架構是擴展的, 那么PHD可以通過用戶管理來配置,或者通過組或計算機管理配置. 參見第7章的組和計算機管理和第8章的用戶管理部分和Apple官方文檔:http://www.apple.com/server/macosx /resources/
另外一個可以考慮的方案是考慮AD插件在AD用戶記錄保存的屬性, 一般地不會被各個部門修改的. 在一個大型的大學校園, 對于管理員來說很難為各個部門提供存儲空間. 在第9章中的"增長的記錄"會考慮這個方案.
E. AD綁定自動化
當 把計算機綁定到AD, 隨著在AD插件提供的唯一的計算機ID,一個計算機賬號會被生成. 由于這個計算機和域建立了互信關系,每個綁定到AD域的計算機必須右唯一的賬號. 對于一個管理大型實驗室或者數百計算機的管理員來說是一個挑戰. 為了解決它,Mac OS X提供了一個自動綁定的工具. "dsconfigad"可以綁定計算機到AD并配置所有AD插件的行為.
提 醒, 自動綁定過程需要你把賬戶密碼保存在shell腳本中, 這明顯預示著安全問題. 為了降低危險, 1)使用一個受限的賬號僅用來添加計算機, 2) 經常改變密碼, 3)限制可以解除shell腳本的人, 4)刪除shell歷史文件. 下面的命令假設你使用前置"sudo"引導,或者在一個shell腳本中用root權限.
1. 閱讀dsconfigad的man幫助。
2. 使用下面命令查看當前狀態:
|
dsconfigad -show
|
3. 如果已經綁定了AD, 銷毀它.
|
dsconfigad -r -u binder -p 'password'
|
4. 使用下面的語法來綁定AD
|
dsconfigad -f -a "computerid" -domain "apple.edu" -u "binder" -p 'password' -ou "CN=computers, DC=apple,DC=edu"
|
5. 使用下面語句來配置高級選項:
|
dsconfigad -alldomain enable -localhome enable /
-protocol afp -mobile disable -mobileconfirm disable / -useuncpath enable -shell "/bin/bash" -nopreferred / -groups 'APPLE/Lab Administratores' |
6. 添加Ad節點到搜索路徑使用dscl命令:
|
dscl /Search -create / SearchPolicy CSPSearchPath
dscl /Search -append / CSPSearchPath “/Active Directory/All Domains” dscl /Search/Contacts -create / SearchPolicy CSPSearchPath dscl /Search/Contacts -append / CSPSearchPath “/Active Directory/All Domains” |
目 錄綁定必須在OS啟動時產生,也就是說, 目錄綁定不能在部署系統鏡象的后期動作中完成--綁定過程會變更在啟動卷(譯者注:原文是,boot drive.)的/Library/Preferences/DirectoryServices文件. 右兩種方式來做到在系統鏡象部署后自動綁定. 一個是生成一個強迫延遲運行的啟動項(startup item)綁定腳本(它將有一段時間來使DirectoryServices建立, 而loginwindow不會等待它完成). 另外一個方法是把綁定腳本作為login hook. 兩個方法都產生同樣效果, 而login hook方法會更強壯,因為你可以迫使loginwindow直到DirectoryServices準備好后再顯示. 一個實例腳本在后面的參考一節中列出,它會完成綁定, 配置AD插件, 添加AD節點到搜索路徑, 禁止自動登錄(auto-login)和安全地自我刪除(和綁定密碼)
要實施login hook:
1. 安裝綁定腳本
2. 設置綁定腳本為login hook:
|
sudo defaults write /var/root/Library/Preferences/com.apple.loginwindow /
LoginHook /path/to/bind_script.sh |
3. 在Accounts的配置面板里的Login options,設置自動登錄到任意一個用戶.
F. AD插件排錯
除了所有在前面的OD的排錯都可以應用到AD上,另外還有一些其它的事情考慮:
綁定問題:
- 確定客戶機和服務器的時鐘誤差不超過5分鐘. Kerberos認證嚴格要求時間,建議所有機器都和同一個時間服務器同步時間.
- 確認使用的網絡管理員賬戶在指定的計算機OU中有寫權限.
- 確認使用的網絡管理員賬戶正確(使用sAMAccountName和密碼)
- 確認客戶機使用和AD同樣的DNS服務器.AD管理員可以確認這個.
- 確認你可以和服務器的53,88,137,389和445端口通信.
"You are unable o login to the user account "Student" at this time..."
- 使用dsconfigad -show命令來看用戶的home目錄應該被綁定.
-
然后使用dscl命令讀取用戶記錄:
dscl /Active/ Directory/All/ Doamins -read /Users/student - 確認用戶的home目錄在哪里("HomeDirectory"屬性), 并檢查你可以使用指定的協議安裝這個共享.
- 如果需要,使用"dsconfigad -mountstyle AFP|SMB"來改變安裝協議.
其它的錯誤:
- 使用adcheck工具產看是否有其它錯誤。
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
