对于AD管理员不愿意把现有的AD架构扩展到支持Mac OS X的特定属性的情况很普遍. 在Windows 2000服务器上,这个很容易理解, 因为AD架构的变更是不可逆的, 这样一旦犯错,除非你重建全部AD架构,否则前功尽弃. 在Windows 2003服务器上, 你可以撤消变更. 所以,这一点明显改变了,AD架构的改变不再复杂和重负的。
因此, Mac管理员更愿意把基本的认证和AD集成, 但是AD并不能提供最大控制, 比如控制FInder的属性和/或应用程序的存取控制等. 有一个幸运的妥协方式. 这一节我们就探讨如何建立AD和OD的交叉认证平台从而利用用户组和计算机表来提供(最大)管理.
为了理解双目录管理如何工作,理解使用LDAP容器是关键. 简便起见, 我将限制在对三个容器的讨论:用户,组,和计算机。
当用户登录时,将发生下面的事情:
sudo dsconfigad -enableSSO |
sudo klist -ke |
4. 并检查你的服务程序已经配置为使用AD Kerberos realm, 而不是自己的. AFP服务很容易检查:
defaults read /Library/Preferences/com.apple.AppleFileServer kerberosPrincipal |
应该可以看见你的AD服务器的realm在列表中. 如果没有,解除绑定后重新绑定.
5. 使用2节中的方法, 提升Mac OS X服务器为主OD
6. 如果Home目录在另外一个Mac OS X服务器上, 现在就把那个服务器绑定到AD, 并加入到AD Kerberos realm. 在AD插件的高级选项中, 检查这个服务器没有强迫使用本地Home目录, 而是使用UNC路径到网络Home目录.
7. 预先生成网络Home目录:
sudo createhomedir -s |
客户端的配置就是混合绑定到OD和AD. 注意顺序很重要, 先绑定OD并检查OD在搜索策略栏的第一个, 如果它不是第一个, 设置可能没配置对, 那么扩展的记录将被忽略.
1. 绑定客户端到主OD(第3节)
2. 使用AD插件绑定客户端到AD
如 果AD管理员没有扩展AD架构来支持扩展的用户属性来支持Mac OS X的用户管理, 那么你无法管理用户. 同样, 你也无法管理Mac OS X组,如果仅使用AD管理而扩展组属性没有得到AD的支持. 如果你建立了双目录服务, 那么你可以基于OD的组来管理用户和组.
Mac OS X支持嵌套的组, 也就是可以识别组中组. 如果你希望用AD组管理用户, 你可以在OD中建立组,然后把AD用户和组添加到里面. AD的用户和组实际上还是存在AD中, 而OD组只是包括了它们的一个参考. OD组可以提供附加的AD不支持的管理信息.
1. 运行Workgroup Manager并用diradmin用户连接到主OD. 确认工作在LDAPv3节点.
2. 点击组并创建一个新组.
3. 点击"Members"标签, 然后是"+"按钮以打开用户和组抽屉. 在上面选择AD节点, AD的用户和组将显示在列表中. 选择一些用户账号(包括你自己), 并拖动它们到组成员表中, 然后点击组标签来添加一些组. 现在有了一个以AD用户和组为成员的OD组, 同样, 并没有复制这些AD用户和组, 而只是它们的参考, 所以没有必要做同步工作. 保存.
4. 可以写另外一本书来介绍管理这些配置, 这里不详述,但是你应该至少变更一个,来检查这个组的管理工作. 确认选定那个组, 然后点击在工具栏中的Preferences按钮. 点击"Dock"按钮, 在"Dock Display"标签中, 设置"Manage these settings"为“Always”和"Position on screen"为"Right".
这一步是可选的--可以仅仅使用组来管理用户. 计算机表管理方式比较方便,尤其是当你管理数千用户或者依据计算机的位置来管理的方式.
1. 在WGM(译者注:Workgroup Manager)里, 点击工具栏中的账号按钮, 然后点击计算机组标签(那个两个方框的标签).
2. 创建一个新计算机表, 叫它"Test Lab", 点击"Members"标签, 然后点击省略符. 在网络浏览窗口里可以添加你的子网中的计算机到列表中.
3. 点击工具栏中的Preferences按钮. 最一般的管理任务是限制哪一个用户和用户组可以使用哪一个组的计算机. 可以使用计算机组来实现. 点击"Login"按钮, 然后是"Access"标签.
4. 点击"Always"选项, 然后是"+"来添加用户/用户组到"Access Control List". 添加完毕之后, 点击"Apply Now"来保存.
1. 使用AD账户登录, 注意你的Dock应该在屏幕右边.
2. 登出再用另外一个管理员组用户登录(参考Directory Utility的AD插件), 因为它是一个管理员组成员,所以登录时系统提示可以不使用组管理(WGM)
3. 登出,使用另外一个不属于OD组的用户, 这个用户将被禁止登录.
4. 复习第4节的B,并检查当前登录用户获得的Kerberos证书
5. 在主OD上打开AFP和SMB. 在客户端, 使用AFP和SMB安装一个共享(对于SMB, 必须明示"http://your.server.edu"), 再检查Kerberos证书, 这个功能会在第10节中详细涉及.