我已经使用Open Directory和Profile Manager(Mail等等,所有的设置和工作)做了一个包含Mac Mini的OS X Server 3(Mavericks 10.9.2)的设置。 现在的事情是,在本地networking内部,一切都很好。 客户可以绑定到OD,用户可以login。 我可以安装信任和设置configuration文件(自定义或组configuration文件),并且configuration文件中的所有服务都正确configuration。 我可以login和注销,在不同的用户使用不同的mac上执行100次,这是有效的。 我的目标是公开提供这项服务。 域名是我自己的FQDN,为了简单起见,我们说server.domain.com 。 现在,将绑定客户RCF2307 OD的唯一方法是使用LDAP映射RCF2307 (不带SSL)和DN后缀dc=server,dc=domain,dc=com使用Directory Utility。 from server或open directory的选项会导致Connection failed to node '/LDAPv3/server.domain.com (2100)例如Connection failed to node '/LDAPv3/server.domain.com (2100) 。 首先,我不太了解为什么客户不能像在本地一样绑定OD,有和没有SSL(所有的端口都是开放的,从字面上看,所有的端口都是开放的,不仅仅是389,636和1640,当然,如果我错过了任何)。 当客户端使用LDAP映射RFC2307进行绑定时(无SSL),客户端可以进行身份validation,login甚至加载Trustconfiguration文件。 但是,每个设置configuration文件都将失败,并显示一条Debug Message: Unable to find GUID in user record OD或无法安装missing user identification 。 有什么办法可以让这个工作没有RFC2307? 因为在使用RFC2307时有相当多的东西丢失,而不是从服务器拉出映射或使用open directory 。 这个设置甚至可能吗? 或者我应该使用VPN来validationOD? networking设置是一个调制解调器/路由器(DHCPclosures)与WAN […]
我们的办公室已经几乎完全从Windows切换到Mac OS X,我们的本地服务器即将更换。 我们使用Active Directory基本上只是为了用户authentication。 我们正在考虑使用运行OS X Server的Mac Minireplace当前的Windows Server。 我还不太了解Open Directory,但它是否可以将身份validation请求委托给SAML v2身份validation提供程序? 我问,因为我们在一个能够充当SAML 2 IdP的pipe理系统中做了相当多的工作,并且我们已经设置了Google Apps来进行身份validation。 如果能够对本地networking资源进行身份validation,这也是非常有用的。
我有一个开放式目录用户的工作组pipe理器中取消选中“访问帐户”框,以便他们无法login。 有没有一种方法来确定这使用LDAP查询? 也可以通过LDAP检查他们的loginShell设置/bin/false ,因为有些pipe理员使用它来禁用login。
有没有任何可能的解决scheme,例如通过SSH禁用CLI的用户? 必须有一个dscl命令。 还是有一个dsAttrTypeStandard属性,我可以相应地设置? 任何指针?
我正在设置一个应用程序来使用LDAP对Open Directory进行身份validation。 Open Directory以RFC 2307 posixGroups格式存储组,如下所示: cn: mygroup objectClass: top objectClass: apple-group objectClass: posixGroup apple-group-memberguid: AA7B69F2-84E1-4ED3-AEC6-25AD976DB1C7 memberUid: noa 但是应用程序期望组采用LDAP核心模式groupOfNames格式,如下所示: cn: mygroup objectClass: top objectClass: groupOfNames member: uid=noa,cn=users,dc=myserver,dc=example,dc=private 换句话说,目录服务器提供了一个不合格的uid,而应用程序需要一个DN。 我怎样才能configurationslapd: dynamic提供一个看起来像groupOfNames (从上面重复)的实体: cn: mygroup objectClass: top objectClass: groupOfNames member: uid=noa,cn=users,dc=myserver,dc=example,dc=private 或者使用组成员的DNdynamic地发出额外的属性,如下所示: cn: mygroup objectClass: top objectClass: apple-group objectClass: posixGroup apple-group-memberguid: AA7B69F2-84E1-4ED3-AEC6-25AD976DB1C7 memberUid: noa memberDn: uid=noa,cn=users,dc=myserver,dc=example,dc=private 看起来像OpenLDAP覆盖可以做到这一点,但我正在寻求帮助的细节。 […]
我们最近购买了预装了Mountain Lion Server的Mac Mini作为开放式目录pipe理员,而且我不清楚Open Directory的数据是如何备份的。 目前我们正在使用Time Machine来备份系统,而苹果的文档只是简单的说ServerBackup设施将会备份这些服务。 我知道opendirectorybackup脚本存在并运行slapconfig,但目标文件没有被更新。 如果我手动运行slapconfig -backupdb它工作。 我已经尝试从命令行手动运行ServerBackup,但在/.ServerBackups/中创build的opendirectory /文件夹是空的。 这应该如何工作? 我是一个Linux的家伙,新的Mac系统pipe理,所以所有的帮助,不胜感激。
我们的企业LDAP目录位于Snow Leopard Server Open Directory设置中。 我正在尝试使用ldapsearch工具导出.ldif文件以导入到另一个外部LDAP服务器,以便与外部进行身份validation; 基本上试图能够在内部和外部使用相同的凭据。 我已经有了ldapsearch工作,并给我的“用户”单位的所有内容和属性,甚至滤除只有我需要的属性: ldapsearch -xLLL -H ldap://server.domain.net / -b "cn=users,dc=server,dc=domain,dc=net" objectClass / uid uidNumber cn userPassword > directorycontents.ldif 这给了我可以导入到远程OpenLDAP服务器的用户和属性列表。 dn: uid=username1,cn=users,dc=server,dc=domain,dc=net objectClass: inetOrgPerson objectClass: posixAccount objectClass: organizationalPerson uidNumber: 1000 uid: username1 userPassword:: (hashedpassword) cn: username1 但是,当我在OD“组”而不是“容器”上尝试相同的查询时,结果如下所示: dn: cn=groupname,cn=groups,dc=server,dc=domain,dc=net objectClass: posixGroup objectClass: apple-group objectClass: extensibleObject objectClass: top gidNumber: 1032 cn: groupname […]
我有一个在OSX服务器机器上运行的OpenDirectory服务器,我想通过一个从服务器来提高服务的可靠性。 问题是,我只有1个OSX服务器,但我有大量的Linux服务器可用。 我对苹果与OpenDirectory集成的工具感到满意,但鉴于苹果最近停止使用XServe,我对继续使用苹果硬件并不感兴趣。 我记得听说OpenDirectory是基于OpenLDAP代码库(现在远程)。 有什么办法可以从OpenDirectory复制到OpenLDAP,而不必购买另一台OSX服务器?
根据https://help.apple.com/advancedserveradmin/mac/10.7/#apd52648A71-571A-433C-81A8-2A7792333F22 ,可以使用Windows机器joinLion Open Directory,使其认为它join了Active Directory域。 但是,我从来没有成功地做过这个工作。 首先,甚至没有创buildDNS中的SRVlogging(在同一台运行OpenDirectory的Lion服务器上)。 一旦我手动添加,复制真正的活动目录域的真正的SRVlogging,Windows至less设法find服务器,但在实际连接中没有成功: DNS was successfully queried for the service location (SRV) resource record used to locate a domain controller for domain "miranda.pilif.home": The query was for the SRV record for _ldap._tcp.dc._msdcs.miranda.pilif.home The following domain controllers were identified by the query: miranda.pilif.home However no domain controllers could be contacted. Common […]
有关Active和Open目录的互操作性的绝大多数问题都涉及让Mac客户端看到AD和授权。 我们想要做的是让Windows 7工作站完全针对开放目录进行authentication。 我们尝试将它设置为NT4型PDC,并且不能令人满意地工作。 我们尝试使用pGina和LDAP后端,这允许身份validation,但不支持授权,因此,如果我们挂载NFS共享,用户有权做任何他们该死的请。 对安全性不理想(实际上完全不能接受血腥)。 我们尝试使用Samba服务器(比Open Directory Server更新版本)作为中间服务器,以便了解OD服务器上的LDAP服务器,但使用Samba 4而不是v3。 那也行不通。 我们可以login,但无法登陆,如果我们这样做,我们享有与pGina相同的权利。 如果我们在Windows中右键单击装入的驱动器,并查看NFS UID,则返回-2,而不是正确的(映射的)UID。 所以我最终的计划是在Windows 2008R2虚拟机中使用Active Directory。 我想实现的是让Active Directory同步来自OpenDirectory的用户数据(只读就可以)。 这样,我们就可以将Windows 7客户端连接到一个“虚拟域”,实际上它只是从OD的LDAP中获取信息。 我发现的所有信息都是关于如何去其他方面。 有谁知道我们怎么能做到这一点?