[10.7 Lion] Kerberos ja, nein oder vielleicht

[SpocksBeard]

Hallo zusammen,

ich frage mich gerade nach der "Enterprisefähigkeit" des OS X Servers...

Was ich erwarte:
Ich erhalte mit Kerberos ein Single Sign On. D.h. Ich melde mich am stelle meinen Client bei den Anmeldeoptionen auf den OD-Server als Account-Server ein und erhalte fortan ein Ticket. Somit muss ich mich nicht mehr extra beim Zugriff auf Freigaben des Servers authentifizieren.

Was ich beobachte:
Ich habe alles dafür getan, muss mich aber beim Mounten immer wieder authentifizieren. Oder ich benutze den Keystore, was ich aber nicht möchte.

Wie sind Eure Beobachtungen mit dem Server?

VG
Ralf

 

[SpocksBeard]

keiner? - mich würde hier nicht unbedint die Lösung interessieren, sondern ob meine Erwartungshaltung richtig oder falsch ist...

Was ich bisher sehe
- klist: Kein Ticket nach dem Anmelden
- kinit: Habe dann mit user@realm ein gültiges Ticket - trotzdem wird beim Klick auf einen Server immer erst von "Guest" ausgegangen - ich erwarte hier aber einen Authentifizierungsversuch mit meinem beim Client angemeldeten User????

Wie ist das bei Euch? ...

 

[stk]

hast Du Kerberos als ausschliessliche Methode für die AFP-Authentifizierung eingestellt. Läuft der OD korrekt, sprich: ist der überhaupt kerberisiert? Wenn man alles richtig macht, wird der OS X Server deiner Erwartungshaltung gerecht.

 

[SpocksBeard]

Hallo Stefan,

Danke erstmal. OD läuft laut Anzeige korrekt:
- LDAP Server Status: Arbeitet
- Kennwortserverstatus: Arbeitet
- Kerberos Status: Arbeitet

Kerberos Realm entspricht meinem lokalen Servernamen in Großbuchsten: <SERVER.HOME.MYDOMAIN.DE>

mit kinit kann ich auch ein Ticket erzeugen.

- Hier sehe ich aktuell das Problem, dass beim Anmelden mit meinem Usernamen kein Ticket erzeugt wird. Kann man das einstellen?

und wie kann ich Kerberos ausschließlich einstellen? Ich meine unter 10.6 gab es im Serveradmin der Freigaben eine Möglichkeit. Bei 10.7 sehe ich die nicht...

 

[stk]

- Hier sehe ich aktuell das Problem, dass beim Anmelden mit meinem Usernamen kein Ticket erzeugt wird. Kann man das einstellen?
und wie kann ich Kerberos ausschließlich einstellen? Ich meine unter 10.6 gab es im Serveradmin der Freigaben eine Möglichkeit. Bei 10.7 sehe ich die nicht...

In der Tat Eines mehr wo sich 10.7 erstmal verschlimmbessert hat
Was die Ticketverwaltung angeht: unter /System/Library/CoreServices gibt es das Programm »TicketViewer« (warum auch immer das Apple nicht die Dienstprogramme packt ) Schau dort mal ob die Einstellungen für Gültigkeit etc. ok sind, bzw. ob Du überhaupt ein Ticket ziehen kannst.

Unter 10.6. mag ich mich dunkel erinnern spielten auch die Serverzertifikate mit rein. Wenn ich das richtig sehe wird der OD von 10.7. aber direkt mit dem selbsterstellten Zertifikat ausgestattet. U.u. musst aber erst den Server zu einer Zertifizierungsinstanz machen, dann ein Leaf davon bekommen, das dann funktioniert - wie gesagt: meine dunkle Erinnerung an das Verfahren unter 10.6.

Gruß Stefan

 

[SpocksBeard]

ok, als Tipp - der TicketViewer ist unter Lion aus dem Schlüsselbund aufrufbar. Im Menü "Schlüselbundverwaltung...

Die Liste der Identitäten ist erst mal leer. Jetzt kann ich mit kinit oder dem TicketViewer "Identität hinzufügen" ein gültiges Ticket erzeugen. Leider nicht automatisch nach dem Login.

...und es hilft nicht beim Authentifizieren am Server - erste Wahl für ihn ist weiterhin "Guest"

Ich werde nochmal ein wenig suchen und wenn ich was finde, hier posten.

VG

 

[SpocksBeard]

Hallo zusammen,

so bin nun ein Stück weiter - auch dank der Anregungen aus dem neuen Buch "OS X Lion Server Essentials".

Mein Status, ich kann nun Kerberos auf dem Hauptserver nutzen.
Was habe ich herausgefunden:
- Lokale Konten können mit Kerberos nicht benutzt werden, es müssen Netzwerk-Accounts sein. Es hilft auch nicht die GUID des Nezwerkusers in den lokalen Account zu kopieren.
- Ich habe keine Möglichkeit gefunden, einen lokalen Account in einen Netzwerkaccount zu migrieren.
- Netzwerkaccounts werden nicht als schönes Icon beim Login gezeigt. Möchte man das, muss der Netzwerkaccount in einen Mobilen Account gewandelt werden. Man kann das synchronisieren benutzen oder ausschalten.

Replik: Ich habe ein OD Replik eingerichtet. Habe es aber bisher nicht geschafft dort auch SSO zu benutzen. Ein User meldet sich dort statt des Usernamens als Gast an

Vielleicht hat hier ja jemand einen Tipp.

Ach ja und ein Tipp.
Zum (erstmaligen) Userverwalten, nehmt die Server.App statt des Workgroupmanagers.
Warum?
Der macht Fehler:
- Die Kerberos ID wird dort mit unnamed_1@REALM eingetragen und nach dem Ändern des Namens nicht mehr korrigiert.
- Falls Ihr SACLs benutzt, werden diese nicht geschrieben