Назад | Перейти на главную страницу

Apple Mac OS X 10.8.2.4 Настройка магического треугольника

У меня работает действительно важная часть моего волшебного треугольника - клиенты Mac OS X, которые я привязываю к AD и OD, могут войти в систему с учетными данными домена. Что не работает, так это совместное использование папки с Mac-сервера для клиентов. Когда клиент использует Go -> Connect to server и указывает smb: // mac-server / sharedfolder или afp: // mac-server / sharedfolder, пользователю предлагается ввести учетные данные, а учетные данные домена не работают (встряхивание окно отклонения). Я пробовал добавить к имени пользователя префикс домена, но безуспешно.

DNS работает правильно, и клиент может разрешить как mac-сервер, так и наш контроллер домена AD.

DSCONFIGAD Mac-сервера выглядит следующим образом:

mac-server:~ macadmin$ dsconfigad -show
Active Directory Forest          = campus.zzz.edu
Active Directory Domain          = campus.zzz.edu
Computer Account                 = mac-server$

Advanced Options - User Experience
  Create mobile account at login = Disabled
     Require confirmation        = Enabled
  Force home to startup disk     = Enabled
     Mount home as sharepoint    = Enabled
  Use Windows UNC path for home  = Enabled
     Network protocol to be used = smb
  Default user Shell             = /bin/bash

Advanced Options - Mappings
  Mapping UID to attribute       = not set
  Mapping user GID to attribute  = not set
  Mapping group GID to attribute = not set
  Generate Kerberos authority    = Enabled

Advanced Options - Administrative
  Preferred Domain controller    = not set
  Allowed admin groups           = not set
  Authentication from any domain = Enabled
  Packet signing                 = allow
  Packet encryption              = allow
  Password change interval       = 14
  Restrict Dynamic DNS updates   = not set
  Namespace mode                 = domain
mac-server:~ macadmin$

Моя общая папка настроена так:

Интересно, что клиенты могут: * войти в систему с учетными данными Active Directory * получить доступ к другим сетевым ресурсам, к которым у них есть разрешение (например, к нашему обычному файловому серверу), без запроса учетных данных.

Клиенты не могут: * подключаться к общей папке Mac-сервера.

Оба AD и OD добавлены со стороны клиента:

Я предполагаю, что в моем волшебном треугольнике работает только интеграция AD, а интеграция OD - нет. К сожалению, OpenDirectory, похоже, не имеет каких-либо / многих опций, с которыми можно было бы возиться в Server.app.

В программе просмотра журналов, встроенной в server.app, я вижу одну странную ошибку в журнале AFP, в которой говорится: 

Jul 15 15:18:42 mac-server.campus.zzz.edu AppleFileServer[25005] <Info>: **** - - "SACL   membership failure for user chalstead" 0 0 0

Буду рад предоставить более подробную информацию. Мне любопытен этот отказ от членства в SACL, но я не уверен, стоит ли сейчас лаять на этом дереве. Я подозреваю, что мне не хватает чего-то более простого.

То, что вы описываете, соответствует тому, что пользователи AD не находятся в SACL сервера Mac (списки управления доступом к службам). Вы можете проверить это, зайдя в Server.app -> Пользователи на боковой панели -> из всплывающего меню над списком пользователей выберите «Пользователи из ADDOMAIN» -> выберите chalstead (или другого пользователя AD, с которым вы можете протестировать) -> из в меню действий (значок шестеренки) под списком пользователей выберите «Изменить доступ к службам» -> проверьте, включена ли служба «Общий доступ к файлам».

Если общий доступ к файлам не включен для рассматриваемого пользователя (ов), вы можете включить его для каждого пользователя (либо индивидуально, либо выбрав их несколько и установив их все сразу), но обычно легче управлять, если вы установите его. по группе. Интерфейс практически такой же, только в разделе "Группы", а не в разделе "Пользователи" (а затем проверьте его в разделе "Пользователи").

Я видел, как он не обновлялся должным образом после изменения (по сути, кажется, что он кеширует сбой SACL); похоже, это исчезнет, ​​если вы оставите его достаточно надолго, но если никто еще не использует сервер Mac, вы можете использовать решение грубой силы: перезагрузите сервер.

РЕДАКТИРОВАТЬ: как только это будет исправлено, вам также может потребоваться включить единый вход AD Kerberos на сервере Mac. Если вам будет предложено ввести учетные данные при подключении к серверу Mac, но они будут разрешены, когда вы их предоставите, вам, вероятно, потребуется настроить это:

  • Проверьте правильность керберизации Mac с помощью команды sudo ktutil -k /etc/krb5.keytab list - если результат содержит записи, заканчивающиеся на "@ ADDOMAIN.EDU", все в порядке. (Примечание: он также будет содержать кучу записей «@LKDC: SHA1.hexgibberish» и, возможно, также «@ MAC-SERVER.whatever»; игнорируйте их.)
  • Если его нужно настроить, воспользуйтесь командой sudo dsconfigad -enableSSO, затем перепроверьте с ktutil.

Если вы нашли эту страницу через Google и используете сервер 10.6, вам может потребоваться добавить пользователя или группу, в зависимости от ваших потребностей, в часть разрешенного доступа администратора сервера.

Администратор сервера> Доступ> выберите службу (afp, smb и т. Д.)> Добавьте пользователя / группу