Usando o Open Directory para autenticar automaticamente compartilhamentos no QNAP NAS

1

Estou tentando fazer com que algum computador cliente OS X se autentique automaticamente em um compartilhamento QNAP usando um servidor Open Directory LDAP separado.

(Nota: estou usando o example.com abaixo para ocultar o nome real do servidor como está atualmente exposto)

As redes têm:

  1. Uma máquina do servidor OSX com o Open Directory em execução (por exemplo, o servidor é master.example.com)

  2. Múltiplas máquinas cliente OSX conectando e autenticando ao servidor usando contas de rede.

Essa parte até agora está funcionando bem.

Agora estou adicionando um QNAP NAS separado como servidor de arquivos (um TVS-871T para referência), por exemplo chamado server.example.com

Eu configurei o QNAP Nas para usar o servidor OSX para autenticação LDAP no painel de controle em Segurança de domínio.

Server:master.example.comBaseDN:dc=master,dc=example,dc=comRootDNistheOpendirectoryadmin:uid=keymaster,dc=master,dc=example,dc=comUsersBaseDNis:cn=users,dc=master,dc=example,dc=comGroupsBaseDNis:cn=groups,dc=master,dc=example,dc=com

EupossoverosusuáriosegruposdaredenainterfacedaQNAPedaraelesacessoacompartilhamentos.

Eupossomontarmanualmenteocompartilhamentodeumclienteafp(Cmd+K)edigitaronomedeusuárioesenha.

Atéaítudobem.

Agora,paraoproblema,estoutentandofazercomquetodasascontasderedemontemautomaticamenteocompartilhamentoquandofizeremlogin.

Normalmente,euconfiguroissonogerenciadordeperfisdoservidorOSXcomoumamontagemderedeautenticada(queusaautomaticamenteacontaderededousuárioparaautenticarduranteaoperaçãodemontagem).Issoétestadoefuncionabemseforumcompartilhamentodoprópriomestredediretórioaberto.

Noentanto,quandotentomontarautomaticamenteumcompartilhamentonaunidadeQNAP,oclienteabreajaneladeautenticação.

Oqueparecedizerquenãoépossívelfazerloginnele.Mesmoseeudigitarnovamenteasenha,elaaindanãodesejafazerlogin.

OconsolemostraumerronoNetAuthSysAgentAFP_OpenSession–Loginfailedwith80

Agora,éinteressanteseeutentarfazerologincomonomedeusuáriocurtodousuário-porexemplo,joesmithnestecaso-entãoelefazologinnocompartilhamento.

Então,basicamente,possoobterautenticaçãoparcialusandoonomedeusuário,masnãoconsigoqueamontagemautomatizadaaconteçaporque-suponho-oclientetentausarummétodoligeiramentediferente(comonomecompletoexibidonacaixadelogin).

Existeumamaneiradefazerissofuncionar?EstoufaltandoumaconfiguraçãonaconfiguraçãodoQNAPldapparafazerissofuncionar?

DevoconfiguraraconexãoLDAPdiferentenoservidorQNAPparapermitirosistemadeautenticaçãodosclientesosx?

Editar:

EuexploreiumpoucooWiresharknoservidorODparaveroqueodispositivoQNAPenvia(estouclaramentedesesperado),evejoqueodispositivoQNAPfazumaconsulta(&(objectClass=posixAccount)(uid=JoeSmith))aomestreOD,oqueconfirmaasuposiçãodequeestáenviandoacredencialerrada.

Usandooldapsearch,possoreplicarissotambém.Seeualteraraconsultadeuidparacn,elefuncionaránalinhadecomando.NãotenhocertezasepossomudaromodocomoaQNAPenviaseufiltrodepesquisa.

Editar2:

EupossoobterodriveQNAPparausaroCNemvezdeuideditando:

/mnt/HDA_ROOT/.config/nss_ldap.conf

eadicionando

nss_map_attributeuidcn

paraisso.

Então/etc/init.d/ldap.shrestart

Issopermitequeeufaçaologincomonomecompleto.

Noentanto,issoquebraosgruposACL.

OlhandonovamenteparaoWireshark,aautenticaçãodoldapagorausaoCNparaotestedeparticipaçãoemgrupotambém:(&(objectClass=posixGroup)(memberUid=JoeSmith))

Funcionasevocêconcederacessodecompartilhamentoausuáriosindividuais,maseuquerousarACLsdegrupo:(

Editar3:

pam ldap parece ter uma opção chamada pam_login_attribute que seria exatamente o que eu preciso, mas nss O ldap não parece usá-lo ou ter uma alternativa semelhante.

    
por Ben 01.08.2016 / 06:23

0 respostas