nfs–ldap драмма

вывихнул мозг пытаясь подружить Lion с AD\LDAP и использованием nfs хомяков
интернеты пестрят топиками, что во льве сломали ldap и к нему походят любые пароли
новых рецептов нет, старые рецепты сращивания по ldap не работают
с nfs хомяками, в связи с убийством netinfo вообще засада
ктонибудь делал?

размер 300x300, 163.79 kb

Tagged with →  

29 Responses to вывихнул мозг пытаясь подружить Lion с AD\LDAP

  1. Cmeg:

    На чем расположены хомяки?

  2. OhCivic:

    дыг на nfsv3
    но пока до них не дошло — по ldap не настроить
    попробовал через AD — не подойдет, не видит групп, лежащих в нестандартных OU, мапинг атрибутов черезжопный

  3. Cmeg:

    Если ты дружишь лев–клиент с ad/ldap,то это странно, потому что в СЛужбе каталогов все дружественные мапы встроены, ad и ldap.
    Это просто авторизация, без хомяков.
    Я загонял клиента льва в ad и нормально логинился.
    Я сейчас решаю обратную задачу — мне надо на льве–сервере раздать авторизацию для виндовых серверов из имеющейся базы юзеров. Готовлю переезд с сервера 10.5 на сервер 10in.

  4. EnZgun:

    авторизовывать виндовых клиентов через OD? без насильника никак, напильник, насколько я помню, зарыт в dns.

  5. EnZgun:

    чортов ыпад с его автозаменой: я напильник имел ввиду

  6. EnZgun:

    По теме — клиенты на 10in успешно авторизуются у меня в AD (sbs 2011)

  7. Cmeg:

    отлично заменилось )

  8. Cmeg:

    ты говоришь про сервер 10in? Ибо в серверах 10.5 и 10.6 виндовые клиенты вполне себе авторизуются, без допиливания dns.

  9. Cmeg:

    То есть у тебя AD — юзеры, и ты хочешь раздать им на 10in–клиентские машины сетевые хомедиры, да?

  10. EnZgun:

    в 10in не пробовал, а с 10.6 проблемы точно были. Клиенты — xp. Как победил без днс?

  11. EnZgun:

    помню, что была у клиентов была проблема с отсутствием записи _ldap._tcp для сервера, добавил ее, всплыл еще какой–то косяк kerberos. долго гуглил, понаставил каких–то костылей и в итоге заработало. есть простой способ?

  12. Cmeg:

    на максервере запустил WINS, а на клиентах указал на него. Без этого тоже работало, но нестабильно.

  13. EnZgun:

    а какие клиенты были? с wins они вводились в домен без эксцессов?

  14. Cmeg:

    самое главное — до запуска OD master + SMB PDC обязательно надо поставить ВСЕ обновления на сервер. В 10.5 эппл вообще не гарантировал корректной работы ранее 10.5.8, а в 10.6 оно просто иногда нестабильно.

  15. Cmeg:

    вот фрагмент по теме из Mac OS X Directory Services v10. –––––––––––––––––––––––– — —
    Appendix B
    Extending Your Active Directory Schema
    If the majority of your users are already defined in an Active Directory node, you may decide to extend your Active Directory schema to provide support for attributes and object classes specifically for Apple objects.
    Administrators have been reluctant to extend the Active Directory schema because it was impossible to reverse a change in versions of Windows Server prior to Windows Server 2003. If your Active Directory Domain Controllers are running Windows Server 2003 or later, however, this is
    no longer as much of an issue, because you can make schema changes inactive. Nevertheless, a change to the Active Directory schema affects all the Domain Controllers in your forest, and you should carefully consider your changes and test them before extending your schema.
    389

    390 Extending Your Active Directory Schema
    Confirm that You Need to extend Your Schema
    Before you go to the trouble of extending your Active Directory schema, determine that extending the schema is an appropriate solution for your problems.
    Deciding Not to extend Your Schema
    The LDAP Data Interchange Format (LDIF) files that you can obtain to extend your Active Directory schema are well tested and have been used for several years, and the pro — cess is automated to prevent typos and other mistakes. However, Apple does not support these files.
    If you already have an Open Directory system and administrators in place, and you do not want to allow the administrators who maintain your Mac OS X systems to have access to edit objects in your Active Directory, you may choose to use a dual–directory solution rather than to extend your Active Directory schema.
    If you can meet your needs with local static and dynamic mappings, you may not need
    to extend your Active Directory schema. You can employ “unused” attributes in Active Directory—but that isn’t a very sustainable method because the “unused” attributes might be used at some later date. In addition, you will have directory data in attributes that
    are not labeled appropriately, which adds complication for anyone trying to understand your directory.
    The two main reasons for extending your schema are to provide mount records and to use managed preferences, each of which are discussed in the following sections.
    Providing Mount records
    If you use the option “Use UNC path from Active Directory to derive network home loca — tion,” the Active Directory plug–in creates a mount record for your Mac OS X workstation to support the Windows share point. When the “Use UNC path” option is disabled, there are no mount records in the search path; once you enable the “Use UNC path,” the Active Directory plug–in dynamically creates a mount record. Follow these instructions to see how the process
    1 On a Mac OS X computer that is bound to Active Directory, run the following com — mands to disable the option “Use UNC path from Active Directory to derive network home location”:

    Confirm That You Need to Extend Your Schema 391
    ~ cadmin$ sudo dsconfigad –useuncpath disable Settings changed successfully
    ~ cadmin$ sudo killall DirectoryService
    2 Use dscl to search for mount records in the search path.
    There should be no mount records listed from Active Directory. ~ cadmin$ dscl /Search list /Mounts
    3 Use dsconfigad to enable the option “Use UNC path from Active Directory to derive network home location”:
    ~ cadmin$ sudo dsconfigad –useuncpath enable Settings changed successfully
    4 Use echo to display the value of a user’s home directory.
    echo causes DirectoryService to look up the value, but it doesn’t attempt to move to
    that directory, which you might not have authorization to
    ~ cadmin$ echo ~aduser1 /Network/Servers/dc1.pretendco.com/winho mes/aduser1
    5 Repeat the dscl command from step 2 to search for mount records. The mount record to support the user’s home holder is listed; DirectoryService and the Active Directory plug–in automatically created it.
    ~ cadmin$ dscl /Search list /Mounts dc1.pretendco./winhomes
    6 Inspect the mount record with dscl; use the backslash to escape the colon in the spe — cial character in the mount record name. Note the warning in the Comment field that this record is dynamically
    ~ cadmin$ dscl /Search list /Mounts dc1.pretendco./winhomes

    392 Extending Your Active Directory Schema
    ~ cadmin$ dscl /Search read /Mounts/dc1.pretendco./winhomes
    /Active Directory/pretendco.com
    Dynamically generated — DO NOT ATTEMPT TO MODIFY
    Synthesized Data
    dc1.pretendco./winhomes /Network/Servers
    net url==//dc1.pretendco.com/winhomes url
    Using Managed Preferences
    There are a few options for using managed preferences. If you use an auxiliary Open Directory server, you
    P Bind your Mac OS X computer to both Active Directory and Open Directory nodes. P Use Apple tools such as Workgroup Manager, dscl, and dseditgroup to add Active
    Directory users to Open Directory groups.
    P Configure managed preferences to Open Directory groups and computers.
    If you have specific needs for one particular user, you can create an Open Directory group for that user and apply managed preferences for that group. You do not need to extend the schema in order to do this, but you do need to ensure that you have an Open Directory server available for your Mac OS X computers.
    If your organization has several physical locations connected by slow links, you might find that extending your Active Directory schema is a smaller project than placing Open Directory replicas at each physical location.

    Extend Your Active Directory Schema 393
    If you extend the Active Directory schema you can use Apple tools such as Workgroup Manager and dscl to assign managed preferences directly to individual users, and you do not need an Open Directory server for managed preferences.
    extend Your Active Directory Schema
    Although you could use the Active Directory schema plug–in for the Microsoft Management Console to manually create and update attributes and object classes, this method is labor intensive and leaves a lot of room for making mistakes. It is instead rec — ommended that you extend your schema using LDIF files (see Chapter 2) so your changes are documented and there is less opportunity for error. Microsoft offers the command — line tool ldifde (LDIF Directory Exchange) to import LDIF files.
    See the Integrating Mac OS X and Active Directory webpage at //images.apple.com/ itpro/articles/adintegration for more information about obtaining and using a set of files to extend your Active Directory schema.
    The basic procedure contained is as
    1. Determine which Domain Controller is assigned to the Flexible Single Master Operations (FSMO) role of schema master; you must perform the commands to extend the schema on this server.
    2. Enable schema changes on the schema master FSMO.
    3. Determine your Active Directory search base.
    4. Use ldifde commands to import the LDIF files. First create the attributes, then create the object classes that use the new attributes.
    5. Disable schema changes on the schema master FSMO.
    After you extend your Active Directory schema, your Active Directory tools such as Active Directory Users and Computers will not change to reflect the new schema extensions. You can use Microsoft tools such as ldifde or Microsoft Management Console to create and edit Apple–specific objects in Active Directory. You can use Apple tools such as Workgroup Manager or dscl to edit objects in Active Directory, but you cannot use Apple tools to cre — ate Active Directory users.

    394 Extending Your Active Directory Schema
    T
    o use the Apple tools, perform the following steps on a computer running Mac OS X that is bound to Active
    1 Use Directory Utility or command–line tools to bind Mac OS X to your Active Directory domain.
    2 Install the Mac OS X Server Administration Tools from Mac OS X Server installation media or via a downloadable package from Apple. If there are any updates available for the Server Administration Tools, install them; you can use Software Update, which is available from the Apple menu.
    3 Open Workgroup Manager. From the Server menu, choose View Directories. Click OK if you get the warning “You are working in the local configuration database, which is not visible to the network.”
    4 Confirm that the globe in the upper–left corner of Workgroup Manager indicates you are viewing the Active Directory domain; if it does not, click the Globe icon and change the directory.
    5 Click the Lock icon in the upper–right corner of Workgroup Manager to authenticate as a directory administrator for Active Directory.
    6 Use Workgroup Manager to edit Active Directory objects.

  16. Cmeg:

    а вот из Mac OS X Directory Services v10.

    Specifying a Network Home Folder
    There are at least two possible ways to specify a network home folder for an Active Directory user
     If your Active Directory schema has been extended to support Apple objects and attributes, map HomeDirectory to an extended attribute in your user record; then you can use Workgroup Manager to specify the home folder.
     Select the “Use UNC path from Active Directory to derive network home location” checkbox and use Active Directory tools to populate the Home Folder field for an Active Directory user. The Active Directory connector maps SMBHomeDirectory to Active Directory’s homeDirectory. You can also specify this option with the –uncpath option of dsconfigad.
    You must specify which file–sharing protocol to SMB or AFP (Apple Filing Protocol). SMB is the default setting, so it is easy to use Windows file services to host home folders for Active Directory users who log in to a Mac OS X computer.
    Mac OS X has had full support for SMB packet signing since Mac OS X v10.5, a security feature (designed to prevent man–in–the–middle attacks) enabled by default on Windows Server 2003 SP1 and later. Many Windows Server administrators require client computers to use this option, which makes it impossible for computers using earlier versions of Mac OS X to access their SMB share points without installing third–party SMB client software.
    AFP offers some advantages over SMB as a file service protocol for Mac OS X client com — It is faster, native to Mac OS X, supports Time Machine and network Spotlight searching, and handles a wider range of filenames in a mixed environment. Unfortunately, Windows servers do not offer AFP by default.
    Although Windows Server 2003 and earlier can offer AFP via Services for Macintosh (SFM), the SFM version of AFP is not current. For example, SFM supports only 31 char — acters in a filename, which causes a problem when Mac OS X uses a long filename, such as ~/Library/Preferences/ByHost/com.apple.i Cal.helper.0017f3e00523.plist. SFM is not recommended for Mac OS X network home folders. If you must use your Windows server for network home directories, consider running a third–party AFP file service, such as GroupLogic’s ExtremeZ–IP, on your Windows server.

    Configuring Mac OS X to Log In Using Active Directory 173
    You can use a Mac OS X Server to host network home folders for Active Directory users, whether they log in to Mac OS X computers or Windows computers. You can
    use Mac OS X Server’s AFP service for users who log in to Mac OS X computers, and Mac OS X Server’s SMB service for users who log in to Windows computers. Discourage users from simultaneously logging in as the same user on Mac OS X and Windows com — puters, because editing the same file over two different protocols simultaneously could corrupt the file.
    For more information about offering file services from a Mac OS X Server, see Chapter 4, “Using File Services,” in Apple Training Mac OS X Server Essentials v10.6.

  17. Cmeg:

    WinXP pro и Win2003server
    В домен вводились без проблем.
    Да, еще мы отключали брандмауэр, на всякий случай.

  18. Cmeg:

    из второго фрагмента видно, что NFS видимо не прокатит.
    Я написанное еще пока не пробовал, у меня обратная схема. Все юзеры в OD.

  19. OhCivic:

    Жесть
    у меня анамнез другой… есть AD, которую я расширил ldap атрибутами пользователям (uid,uidNumber,gidNumber,UnixHomeDirecto ry,shell) + паре групп, коих юзаю на линуксах.
    Туда логинится юзверь, у него хомяк на nfs, а все атрибуты в AD. При этом самба не юзается.
    Вся эта хрень используется для сборок кода, которым рулит Jenkins
    Вчерась запустил macmini server, но ни так,ни так не получилось присобачить по старым рельсам
    Пришлось сделать под локальным пользователем, надеюсь временно.

    А хочется чтоб в макось мог логинится AD пользователь, но по ldap, т.е. чтоб ему цеплялись uidNumber,gidNumber и пара групп по ldap фильтру
    + nfs хомяк
    хочю pam и ldap.conf… ересь конечно
    при этом пользователю можно даже не уметь логиниться в графику

  20. OhCivic:

    кстати, в /etc/passwd нет пользователя, сделанного в графике… о чем это говорит?

  21. OhCivic:

    Дружественные мапы — да, но они предположить не могли, что группы могут лежать не в стандартных местах…
    типа OU=XXX Groups,OU=XXX,OU=SPB,DC=ru,DC=XXX,DC=com
    соответственно макось не видит их, и этим группам не дать права входа\администрирования

  22. OhCivic:

    не, OD не поднимал, т.е. macmini server как обычная macos — как обычный клиент
    а вот с 10.5–10.6 много что поменялось — пробовал кучу старых рецептов, как коннектится к eDirectory\LDAP\AD — в 10in не прокатывают

  23. Cmeg:

    это говорит о том, что он не там.
    ls /var/db/dslocal/nodes/Default/users/

  24. Cmeg:

    это если речь идет о локальном пользователе :)

  25. Cmeg:

    тогда ты можешь поднять на макминисервере OD, прицепить его к AD членом домена, прицепить к AD–керберосу, а потом использовать augmented records.

    В начале приведенных фрагментов есть ссылки на книжки, из которых они выдернуты. В этих книжках этот метод описан пошагово, и еще несколько, которые тебе могут подойти.

    Я сильно рекомендую тебе их добыть и прочесть.

  26. OhCivic:

    както нешОколадно получается :(
    и с 10.5\10.6 все поменяли, если ты помнишь, т.к. исключили smb заменив самописным cifs
    неужто никто не цеплял 10in по ldap к какой–нибудь eDirectory \ OpenLdap?
    не верится

  27. OhCivic:

    срочно призываю насильника!!!

  28. Cmeg:

    а это не влияет, сервер 10in просто перестал нормально быть SMB–сервером, а как клиент он отлично справляется.
    Опять же ты можешь запустить pam и nss клиенты на сервере с nfs и натравить их на AD, на lissyara.su на эту тему вагон внятных пошаговых статей, часть мной опробована, всё работает.

  29. EnZgun:

    спасибо, поэспериментирую еще разок в виртуалках

Добавить комментарий

Ваш e-mail не будет опубликован.

 

Подробнее:
TSMC будут производить мобильные чипы для Apple
TSMC будут производить мобильные чипы для Apple

Согласно данным, поступившим из Азии, Taiwan Semiconductor Manufacturing Company подписали трехлетний договор с Apple на производство чипов. Если калифорнийская компания будет придерживаться своих традиций в отношении названия мобильных процессоров, то последним чипом, который выпустят TSMC, будет A9/A9X. Сегодня журналисты DigiTimes...

Закрыть