Estou tentando fazer com que algum computador cliente OS X se autentique automaticamente em um compartilhamento QNAP usando um servidor Open Directory LDAP separado.
(Nota: estou usando o example.com abaixo para ocultar o nome real do servidor como está atualmente exposto)
As redes têm:
Uma máquina do servidor OSX com o Open Directory em execução (por exemplo, o servidor é master.example.com)
Múltiplas máquinas cliente OSX conectando e autenticando ao servidor usando contas de rede.
Essa parte até agora está funcionando bem.
Agora estou adicionando um QNAP NAS separado como servidor de arquivos (um TVS-871T para referência), por exemplo chamado server.example.com
Eu configurei o QNAP Nas para usar o servidor OSX para autenticação LDAP no painel de controle em Segurança de domínio.
Server:master.example.comBaseDN:dc=master,dc=example,dc=comRootDNistheOpendirectoryadmin:uid=keymaster,dc=master,dc=example,dc=comUsersBaseDNis:cn=users,dc=master,dc=example,dc=comGroupsBaseDNis:cn=groups,dc=master,dc=example,dc=com
EupossoverosusuáriosegruposdaredenainterfacedaQNAPedaraelesacessoacompartilhamentos.
Eupossomontarmanualmenteocompartilhamentodeumclienteafp(Cmd+K)edigitaronomedeusuárioesenha.
Atéaítudobem.
Agora,paraoproblema,estoutentandofazercomquetodasascontasderedemontemautomaticamenteocompartilhamentoquandofizeremlogin.
Normalmente,euconfiguroissonogerenciadordeperfisdoservidorOSXcomoumamontagemderedeautenticada(queusaautomaticamenteacontaderededousuárioparaautenticarduranteaoperaçãodemontagem).Issoétestadoefuncionabemseforumcompartilhamentodoprópriomestredediretórioaberto.
Noentanto,quandotentomontarautomaticamenteumcompartilhamentonaunidadeQNAP,oclienteabreajaneladeautenticação.
Oqueparecedizerquenãoépossívelfazerloginnele.Mesmoseeudigitarnovamenteasenha,elaaindanãodesejafazerlogin.
OconsolemostraumerronoNetAuthSysAgentAFP_OpenSession–Loginfailedwith80
Agora,éinteressanteseeutentarfazerologincomonomedeusuáriocurtodousuário-porexemplo,joesmithnestecaso-entãoelefazologinnocompartilhamento.
Então,basicamente,possoobterautenticaçãoparcialusandoonomedeusuário,masnãoconsigoqueamontagemautomatizadaaconteçaporque-suponho-oclientetentausarummétodoligeiramentediferente(comonomecompletoexibidonacaixadelogin).
Existeumamaneiradefazerissofuncionar?EstoufaltandoumaconfiguraçãonaconfiguraçãodoQNAPldapparafazerissofuncionar?
DevoconfiguraraconexãoLDAPdiferentenoservidorQNAPparapermitirosistemadeautenticaçãodosclientesosx?
Editar:
EuexploreiumpoucooWiresharknoservidorODparaveroqueodispositivoQNAPenvia(estouclaramentedesesperado),evejoqueodispositivoQNAPfazumaconsulta(&(objectClass=posixAccount)(uid=JoeSmith))
aomestreOD,oqueconfirmaasuposiçãodequeestáenviandoacredencialerrada.
Usandooldapsearch,possoreplicarissotambém.Seeualteraraconsultadeuid
paracn
,elefuncionaránalinhadecomando.NãotenhocertezasepossomudaromodocomoaQNAPenviaseufiltrodepesquisa.
Editar2:
EupossoobterodriveQNAPparausaroCNemvezdeuideditando:
/mnt/HDA_ROOT/.config/nss_ldap.conf
eadicionando
nss_map_attributeuidcn
paraisso.
Então/etc/init.d/ldap.shrestart
Issopermitequeeufaçaologincomonomecompleto.
Noentanto,issoquebraosgruposACL.
OlhandonovamenteparaoWireshark,aautenticaçãodoldapagorausaoCNparaotestedeparticipaçãoemgrupotambém:(&(objectClass=posixGroup)(memberUid=JoeSmith))
Funcionasevocêconcederacessodecompartilhamentoausuáriosindividuais,maseuquerousarACLsdegrupo:(
Editar3:
pam_login_attribute
que seria exatamente o que eu preciso, mas nss O ldap não parece usá-lo ou ter uma alternativa semelhante.