Active-Directory

Apple Mac OS X 10.8.2.4 魔三角設置

  • July 13, 2015

我有我的魔法三角工作中真正重要的部分——我綁定到 AD 和 OD 的 Mac OS X 客戶端可以使用域憑據登錄。不起作用的是從 mac 伺服器共享文件夾到客戶端。當客戶端使用 Go -> Connect to server 並指定 smb://mac-server/sharedfolder 或 afp://mac-server/sharedfolder 時,會提示使用者輸入憑據,並且域憑據不起作用(抖動視窗拒絕)。我試過在使用者名前面加上域,但沒有運氣。

DNS 工作正常,客戶端可以同時解析 mac-server 和我們的 AD 域控制器

mac伺服器的DSCONFIGAD如下:

mac-server:~ macadmin$ dsconfigad -show
Active Directory Forest          = campus.zzz.edu
Active Directory Domain          = campus.zzz.edu
Computer Account                 = mac-server$

Advanced Options - User Experience
 Create mobile account at login = Disabled
    Require confirmation        = Enabled
 Force home to startup disk     = Enabled
    Mount home as sharepoint    = Enabled
 Use Windows UNC path for home  = Enabled
    Network protocol to be used = smb
 Default user Shell             = /bin/bash

Advanced Options - Mappings
 Mapping UID to attribute       = not set
 Mapping user GID to attribute  = not set
 Mapping group GID to attribute = not set
 Generate Kerberos authority    = Enabled

Advanced Options - Administrative
 Preferred Domain controller    = not set
 Allowed admin groups           = not set
 Authentication from any domain = Enabled
 Packet signing                 = allow
 Packet encryption              = allow
 Password change interval       = 14
 Restrict Dynamic DNS updates   = not set
 Namespace mode                 = domain
mac-server:~ macadmin$ 

我的共享文件夾配置如下: 共享文件夾配置

有趣的是,客戶端可以: * 使用 Active Directory 憑據登錄 * 訪問他們有權訪問的其他網路資源(例如我們的正常文件伺服器),而不會被提示輸入憑據

客戶端不能: * 連接到 mac-server 文件共享。

從客戶端添加的 AD 和 OD: 綁定到 AD 和 OD

我猜只有 AD 集成在我的魔三角中起作用,但 OD 集成不是。不幸的是,OpenDirectory 在 Server.app 中似乎沒有任何/很多選項可以擺弄。

在 server.app 內置的日誌查看器中,我確實在 AFP 日誌中看到了一個奇怪的錯誤:

Jul 15 15:18:42 mac-server.campus.zzz.edu AppleFileServer[25005] <Info>: **** - - "SACL   membership failure for user chalstead" 0 0 0

我很樂意提供更多細節。我很好奇這次 SACL 會員資格失敗,但不確定這是否是一棵樹現在可以吠叫。我懷疑我錯過了一些更基本的東西。

您所描述的內容與不在 Mac 伺服器的 SACL(服務訪問控制列表)中的 AD 使用者一致。您可以通過進入 Server.app -> 側邊欄中的使用者 -> 從使用者列表上方的彈出菜單中選擇“來自 ADDOMAIN 的使用者”-> 選擇 chalstead(或您可以測試的其他一些 AD 使用者)-> 從使用者列表下的操作(齒輪圖示)菜單選擇“編輯對服務的訪問” -> 檢查是否啟用了“文件共享”服務。

如果沒有為相關使用者啟用文件共享,您可以為每個使用者啟用它(單獨或通過選擇一堆並一次設置它們),但如果您設置它通常更容易管理按組。界面本質上是相同的,只是在組而不是使用者部分(然後在使用者部分進行驗證)。

我已經看到它在更改後無法正確更新(本質上,它似乎記憶體了 SACL 故障);如果您將其放置足夠長的時間,這似乎會消失,但如果還沒有人使用 Mac 伺服器,您可以使用蠻力解決方案:重新啟動伺服器。

編輯:一旦修復,您可能還必須在 Mac 伺服器上啟用 AD 的 Kerberos 單點登錄。如果在連接到 Mac 伺服器時提示您輸入憑據,但在您提供憑據時允許輸入,您可能需要進行設置:

  • 使用該命令檢查 Mac 是否正確進行了 Kerberized sudo ktutil -k /etc/krb5.keytab list——如果結果包括以“@ADDOMAIN.EDU”結尾的條目,那麼你很好。(注意:它還將包含一堆“@LKDC:SHA1.hexgibberish”,可能還包含“@MAC-SERVER.whatever”條目;忽略這些。)
  • 如果需要設置,請使用命令sudo dsconfigad -enableSSO,然後使用 重新檢查ktutil

引用自:https://serverfault.com/questions/523531