Apple Mac OS X 10.8.2.4 魔三角設置
我有我的魔法三角工作中真正重要的部分——我綁定到 AD 和 OD 的 Mac OS X 客戶端可以使用域憑據登錄。不起作用的是從 mac 伺服器共享文件夾到客戶端。當客戶端使用 Go -> Connect to server 並指定 smb://mac-server/sharedfolder 或 afp://mac-server/sharedfolder 時,會提示使用者輸入憑據,並且域憑據不起作用(抖動視窗拒絕)。我試過在使用者名前面加上域,但沒有運氣。
DNS 工作正常,客戶端可以同時解析 mac-server 和我們的 AD 域控制器
mac伺服器的DSCONFIGAD如下:
mac-server:~ macadmin$ dsconfigad -show Active Directory Forest = campus.zzz.edu Active Directory Domain = campus.zzz.edu Computer Account = mac-server$ Advanced Options - User Experience Create mobile account at login = Disabled Require confirmation = Enabled Force home to startup disk = Enabled Mount home as sharepoint = Enabled Use Windows UNC path for home = Enabled Network protocol to be used = smb Default user Shell = /bin/bash Advanced Options - Mappings Mapping UID to attribute = not set Mapping user GID to attribute = not set Mapping group GID to attribute = not set Generate Kerberos authority = Enabled Advanced Options - Administrative Preferred Domain controller = not set Allowed admin groups = not set Authentication from any domain = Enabled Packet signing = allow Packet encryption = allow Password change interval = 14 Restrict Dynamic DNS updates = not set Namespace mode = domain mac-server:~ macadmin$
我的共享文件夾配置如下:
有趣的是,客戶端可以: * 使用 Active Directory 憑據登錄 * 訪問他們有權訪問的其他網路資源(例如我們的正常文件伺服器),而不會被提示輸入憑據
客戶端不能: * 連接到 mac-server 文件共享。
從客戶端添加的 AD 和 OD:
我猜只有 AD 集成在我的魔三角中起作用,但 OD 集成不是。不幸的是,OpenDirectory 在 Server.app 中似乎沒有任何/很多選項可以擺弄。
在 server.app 內置的日誌查看器中,我確實在 AFP 日誌中看到了一個奇怪的錯誤:
Jul 15 15:18:42 mac-server.campus.zzz.edu AppleFileServer[25005] <Info>: **** - - "SACL membership failure for user chalstead" 0 0 0
我很樂意提供更多細節。我很好奇這次 SACL 會員資格失敗,但不確定這是否是一棵樹現在可以吠叫。我懷疑我錯過了一些更基本的東西。
您所描述的內容與不在 Mac 伺服器的 SACL(服務訪問控制列表)中的 AD 使用者一致。您可以通過進入 Server.app -> 側邊欄中的使用者 -> 從使用者列表上方的彈出菜單中選擇“來自 ADDOMAIN 的使用者”-> 選擇 chalstead(或您可以測試的其他一些 AD 使用者)-> 從使用者列表下的操作(齒輪圖示)菜單選擇“編輯對服務的訪問” -> 檢查是否啟用了“文件共享”服務。
如果沒有為相關使用者啟用文件共享,您可以為每個使用者啟用它(單獨或通過選擇一堆並一次設置它們),但如果您設置它通常更容易管理按組。界面本質上是相同的,只是在組而不是使用者部分(然後在使用者部分進行驗證)。
我已經看到它在更改後無法正確更新(本質上,它似乎記憶體了 SACL 故障);如果您將其放置足夠長的時間,這似乎會消失,但如果還沒有人使用 Mac 伺服器,您可以使用蠻力解決方案:重新啟動伺服器。
編輯:一旦修復,您可能還必須在 Mac 伺服器上啟用 AD 的 Kerberos 單點登錄。如果在連接到 Mac 伺服器時提示您輸入憑據,但在您提供憑據時允許輸入,您可能需要進行設置:
- 使用該命令檢查 Mac 是否正確進行了 Kerberized
sudo ktutil -k /etc/krb5.keytab list
——如果結果包括以“@ADDOMAIN.EDU”結尾的條目,那麼你很好。(注意:它還將包含一堆“@LKDC:SHA1.hexgibberish”,可能還包含“@MAC-SERVER.whatever”條目;忽略這些。)- 如果需要設置,請使用命令
sudo dsconfigad -enableSSO
,然後使用 重新檢查ktutil
。