Configuração do Apple Mac OS X 10.8.2.4 Magic Triangle

Navegue suas respostas
1

Eu tenho a parte realmente importante do meu triângulo mágico trabalhando - clientes Mac OS X que eu vinculo ao AD & OD pode efetuar login com credenciais de domínio. O que não está funcionando é compartilhar uma pasta do servidor mac para os clientes. Quando um cliente usa Go - > Conecte-se ao servidor e especifique smb: // mac-server / sharedfolder ou afp: // mac-server / sharedfolder, o usuário será solicitado a fornecer credenciais e as credenciais de domínio não funcionarão (diminuindo a rejeição da janela). Eu tentei prefixar o nome de usuário com o domínio, mas sem sorte.

O DNS está funcionando corretamente e o cliente pode resolver tanto o mac-server quanto o nosso controlador de domínio AD

O DSCONFIGAD do servidor mac é o seguinte: 

mac-server:~ macadmin$ dsconfigad -show
Active Directory Forest          = campus.zzz.edu
Active Directory Domain          = campus.zzz.edu
Computer Account                 = mac-server$

Advanced Options - User Experience
  Create mobile account at login = Disabled
     Require confirmation        = Enabled
  Force home to startup disk     = Enabled
     Mount home as sharepoint    = Enabled
  Use Windows UNC path for home  = Enabled
     Network protocol to be used = smb
  Default user Shell             = /bin/bash

Advanced Options - Mappings
  Mapping UID to attribute       = not set
  Mapping user GID to attribute  = not set
  Mapping group GID to attribute = not set
  Generate Kerberos authority    = Enabled

Advanced Options - Administrative
  Preferred Domain controller    = not set
  Allowed admin groups           = not set
  Authentication from any domain = Enabled
  Packet signing                 = allow
  Packet encryption              = allow
  Password change interval       = 14
  Restrict Dynamic DNS updates   = not set
  Namespace mode                 = domain
mac-server:~ macadmin$

Minha pasta compartilhada está configurada assim:

Curiosamente,osclientespodem:*façaologincomcredenciaisdoActiveDirectory*acessaroutrosrecursosderedeparaosquaiselestêmpermissão(comonossoservidordearquivoscomum),semprecisardecredenciais

Clientesnãopodem:*conecte-seaocompartilhamentodearquivosdoservidormac.

AmbosAD&ODadicionadodoladodocliente:

Suponho que apenas a integração do AD está funcionando no meu triângulo mágico, mas a integração do OD não é. Infelizmente, o OpenDirectory não parece ter nenhuma / muitas opções para mexer no Server.app.

No visualizador de log embutido no server.app, vejo um erro estranho no log do AFP dizendo: 

Jul 15 15:18:42 mac-server.campus.zzz.edu AppleFileServer[25005] <Info>: **** - - "SACL   membership failure for user chalstead" 0 0 0

Eu ficaria feliz em fornecer mais detalhes. Estou curioso sobre esse fracasso de membro da SACL, mas não tenho certeza se é uma árvore para latir agora. Eu suspeito que estou sentindo falta de algo muito mais básico.

    
por SteadH 16.07.2013 / 02:02

2 respostas

1

O que você descreve parece consistente com o fato de os usuários do AD não estarem nas SACLs (Service Access Control Lists) do servidor Mac. Você pode verificar isso indo em Server.app - > Usuários na barra lateral - > no menu pop-up acima da lista de usuários, escolha "Usuários de ADDOMAIN" - > selecione chalstead (ou algum outro usuário AD que você pode testar com) - > no menu de ação (ícone de engrenagem) na lista de usuários, escolha "Editar acesso aos serviços" - > verifique se o serviço "File Sharing" está ativado.

Se o compartilhamento de arquivos não estiver habilitado para o (s) usuário (s) em questão, você poderá habilitá-lo por usuário (individualmente ou selecionando um grupo deles e definindo-os todos de uma vez), mas geralmente é mais fácil gerenciar você define por grupo. A interface é essencialmente a mesma, apenas na seção Grupos e não Usuários (e, em seguida, na seção Usuários).

Eu vi falha ao atualizar corretamente após uma alteração (essencialmente, parece armazenar em cache a falha da SACL); isso parece ir embora se você deixá-lo por tempo suficiente, mas se ninguém estiver usando o servidor Mac ainda, você pode usar a solução de força bruta: reinicie o servidor.

EDIT: uma vez que é fixo, você também pode ter que habilitar o Kerberos single-sign-on do AD no servidor Mac. Se você for solicitado a fornecer credenciais ao se conectar ao servidor Mac, mas permitido quando você as fornecer, provavelmente precisará configurá-lo:

  • Verifique se o Mac é Kerberizado corretamente com o comando sudo ktutil -k /etc/krb5.keytab list - se o resultado incluir entradas que terminem com "@ ADDOMAIN.EDU", você estará bem. (Observação: ele também conterá várias entradas "@LKDC: SHA1.hexgibberish" e talvez também "@ MAC-SERVER.whatever"; ignore-as.)
  • Se precisar ser configurado, use o comando sudo dsconfigad -enableSSO e, em seguida, verifique novamente com ktutil .
por 16.07.2013 / 02:51
0

Caso você encontre essa página pelo Google e esteja usando o 10.6 Server, talvez seja necessário adicionar o usuário ou grupo, dependendo de suas necessidades, à parte do Access Admin de Administração do Servidor.

Administração do servidor > Acesso > selecione o serviço (afp, smb, etc) > adicionar usuário / grupo

    
por 14.07.2015 / 01:46

Tags

OpenVPN não reserva IP estático Permitir que usuários conectados ao OpenVPN acessem o servidor FTP - no Windows Server