Kerberos ja, nein oder vielleicht

[SpocksBeard]

Hallo zusammen,

ich frage mich gerade nach der "Enterprisefähigkeit" des OS X Servers...

Was ich erwarte:
Ich erhalte mit Kerberos ein Single Sign On. D.h. Ich melde mich am stelle meinen Client bei den Anmeldeoptionen auf den OD-Server als Account-Server ein und erhalte fortan ein Ticket. Somit muss ich mich nicht mehr extra beim Zugriff auf Freigaben des Servers authentifizieren.

Was ich beobachte:
Ich habe alles dafür getan, muss mich aber beim Mounten immer wieder authentifizieren. Oder ich benutze den Keystore, was ich aber nicht möchte.

Wie sind Eure Beobachtungen mit dem Server?

VG
Ralf

[SpocksBeard]

keiner? - mich würde hier nicht unbedint die Lösung interessieren, sondern ob meine Erwartungshaltung richtig oder falsch ist...

Was ich bisher sehe
- klist: Kein Ticket nach dem Anmelden
- kinit: Habe dann mit user@realm ein gültiges Ticket - trotzdem wird beim Klick auf einen Server immer erst von "Guest" ausgegangen - ich erwarte hier aber einen Authentifizierungsversuch mit meinem beim Client angemeldeten User????

Wie ist das bei Euch? ...

[stk]

hast Du Kerberos als ausschliessliche Methode für die AFP-Authentifizierung eingestellt. Läuft der OD korrekt, sprich: ist der überhaupt kerberisiert? Wenn man alles richtig macht, wird der OS X Server deiner Erwartungshaltung gerecht.

[SpocksBeard]

Hallo Stefan,

Danke erstmal. OD läuft laut Anzeige korrekt:
- LDAP Server Status: Arbeitet
- Kennwortserverstatus: Arbeitet
- Kerberos Status: Arbeitet

Kerberos Realm entspricht meinem lokalen Servernamen in Großbuchsten: <SERVER.HOME.MYDOMAIN.DE>

mit kinit kann ich auch ein Ticket erzeugen.

- Hier sehe ich aktuell das Problem, dass beim Anmelden mit meinem Usernamen kein Ticket erzeugt wird. Kann man das einstellen?

und wie kann ich Kerberos ausschließlich einstellen? Ich meine unter 10.6 gab es im Serveradmin der Freigaben eine Möglichkeit. Bei 10.7 sehe ich die nicht...

[stk]

- Hier sehe ich aktuell das Problem, dass beim Anmelden mit meinem Usernamen kein Ticket erzeugt wird. Kann man das einstellen?
und wie kann ich Kerberos ausschließlich einstellen? Ich meine unter 10.6 gab es im Serveradmin der Freigaben eine Möglichkeit. Bei 10.7 sehe ich die nicht...

In der Tat Eines mehr wo sich 10.7 erstmal verschlimmbessert hat
Was die Ticketverwaltung angeht: unter /System/Library/CoreServices gibt es das Programm »TicketViewer« (warum auch immer das Apple nicht die Dienstprogramme packt ) Schau dort mal ob die Einstellungen für Gültigkeit etc. ok sind, bzw. ob Du überhaupt ein Ticket ziehen kannst.

Unter 10.6. mag ich mich dunkel erinnern spielten auch die Serverzertifikate mit rein. Wenn ich das richtig sehe wird der OD von 10.7. aber direkt mit dem selbsterstellten Zertifikat ausgestattet. U.u. musst aber erst den Server zu einer Zertifizierungsinstanz machen, dann ein Leaf davon bekommen, das dann funktioniert - wie gesagt: meine dunkle Erinnerung an das Verfahren unter 10.6.

Gruß Stefan

[SpocksBeard]

ok, als Tipp - der TicketViewer ist unter Lion aus dem Schlüsselbund aufrufbar. Im Menü "Schlüselbundverwaltung...

Die Liste der Identitäten ist erst mal leer. Jetzt kann ich mit kinit oder dem TicketViewer "Identität hinzufügen" ein gültiges Ticket erzeugen. Leider nicht automatisch nach dem Login.

...und es hilft nicht beim Authentifizieren am Server - erste Wahl für ihn ist weiterhin "Guest"

Ich werde nochmal ein wenig suchen und wenn ich was finde, hier posten.

VG