苹果Mac OS X 10.8.2.4魔术三angular形设置
我有我的魔术三angular非常重要的一部分 – 我绑定到AD&OD的Mac OS X客户端可以使用域凭据login。 什么是不工作是共享从Mac服务器的文件夹到客户端。 当客户端使用Go – >连接到服务器,并指定smb:// mac-server / sharedfolder或afp:// mac-server / sharedfolder时,将提示用户input凭据,并且域凭据不起作用窗口拒绝)。 我已经尝试用域名前缀的用户名,但没有运气。
DNS工作正常,客户端可以同时parsingmac-server和AD域控制器
mac服务器的DSCONFIGAD如下:
mac-server:~ macadmin$ dsconfigad -show Active Directory Forest = campus.zzz.edu Active Directory Domain = campus.zzz.edu Computer Account = mac-server$ Advanced Options - User Experience Create mobile account at login = Disabled Require confirmation = Enabled Force home to startup disk = Enabled Mount home as sharepoint = Enabled Use Windows UNC path for home = Enabled Network protocol to be used = smb Default user Shell = /bin/bash Advanced Options - Mappings Mapping UID to attribute = not set Mapping user GID to attribute = not set Mapping group GID to attribute = not set Generate Kerberos authority = Enabled Advanced Options - Administrative Preferred Domain controller = not set Allowed admin groups = not set Authentication from any domain = Enabled Packet signing = allow Packet encryption = allow Password change interval = 14 Restrict Dynamic DNS updates = not set Namespace mode = domain mac-server:~ macadmin$ 我的共享文件夹是这样configuration的: 
- 定义用户策略的GPO正在被应用,尽pipe被链接到计算机OU(没有环回处理)
- 仅允许用户从Active Directory读取的权限
- 如何理解Windows 2003上的身份validation日志事件
- 到其他域的VPN导致本地域身份validation停止工作
- Win2k3文件服务器上的组权限(貌似)被忽略
有趣的是,客户端可以:*使用Active Directory凭证login*访问他们有权访问的其他networking资源(如我们的常规文件服务器),而不提示input凭据
客户端不能:*连接到mac-server文件共享。
客户端添加的AD&OD: 
我猜测,只有AD集成在我的魔术三angular形工作,但OD整合不是。 不幸的是,OpenDirectory似乎没有任何/很多的选项来摆弄Server.app。
在内置于server.app的日志查看器中,我在AFP日志中看到一个奇怪的错误:
Jul 15 15:18:42 mac-server.campus.zzz.edu AppleFileServer[25005] <Info>: **** - - "SACL membership failure for user chalstead" 0 0 0
我很乐意提供更多的细节。 我对这个SACL会员失败感到好奇,但不知道现在是不是一棵树。 我怀疑我错过了更基本的东西。
您所描述的内容听起来与不在Mac服务器的SACL(服务访问控制列表)中的AD用户一致。 您可以通过进入Server.app – >用户在边栏 – >从用户列表上方的popup式菜单中select“用户从ADDOMAIN” – >selectchalstead(或某个其他AD用户,您可以testing) – >从在用户列表下的动作(齿轮图标)菜单中select“编辑访问服务” – >检查“文件共享”服务是否启用。
如果没有为相关用户启用“文件共享”,则可以按用户启用(单独或通过select一堆文件并一次设置),但如果设置它通常更容易pipe理按组。 界面基本上是相同的,只是在组而不是用户部分(然后在用户部分validation它)。
我已经看到它在更改后无法正确更新(本质上,它似乎cachingSACL故障); 如果离开它足够久,这似乎就会消失,但如果没有人使用Mac服务器,则可以使用powershell解决scheme:重新启动服务器。
编辑:一旦修复,您可能还必须在Mac服务器上启用AD的Kerberos单点login。 如果在连接到Mac服务器时系统提示您input凭据,但在提供凭据时允许input凭据,则可能需要设置此项:
- 使用命令
sudo ktutil -k /etc/krb5.keytab list检查Mac是否已正确Kerberized – 如果结果包含以“@ ADDOMAIN.EDU”结尾的条目,那么您就很好。 (注意:它也将包含一堆“@LKDC:SHA1.hexgibberish”,也许还包括“@ MAC-SERVER.whatever”条目;忽略这些)。 - 如果需要设置,请使用命令
sudo dsconfigad -enableSSO,然后使用ktutil重新检查。
如果您通过Googlefind该页面并正在使用10.6服务器,则可能需要根据您的需要将用户或组添加到服务器pipe理员的访问允许部分。
服务器pipe理>访问>select服务(afp,smb等)>添加用户/组