Mac OS Server externes LDAP vs. Freigaben

[yjnthaar]

Moin, Moin,

Nachdem mein Post an anderer Stelle wohl deplaziert war, versuche ich es mit einem eigenen Faden:

Wir betreiben seit einer Weile einen Apple XServe mit Mac OS 10.5.x Leopard Server. Bisher hat er nur ein wenige Dienste angeboten (Network-Restore, Fileserver mit serverseitig lokalen Usern).

Auf dem Server wurde nun per Verzeichnisdienst-Dienstprogramm unsere vorhandene Userverwaltung auf Open LDAP Basis "eingehängt". Das funktionert soweit auch. LDAP Auflösung per DSCL funzt und auch im Arbeitsgruppen-Manager kann der Open LDAP Node eingeblendet werden. Nun kann Mensch bequem die User aus dem Open LDAP auf Shares des Mac OS Servers verknüpfen. Augenscheinlich...

Leider liegt hier schon der Hund begraben. User die aus dem Open LDAP als zugriffsbereichtig auf einen Share auf dem Mac OS Server eingerichtet werden, können nun doch nicht die Share mit ihrem Open LDAP User/Passwort von ihrem Client aus mounten.

Der Versuch das lokale Open Directory zu aktivieren und dort Gruppen einzurichten die mit Open LDAP User aufgefüllt werden, brachte auch keinen Erfolg.

Letzteres ist vermutlich gar nicht nötig?
Die Clients die übrigens den Server nutzen sollen sind sowohl Windows wie Mac Clients.

Irgendwer eine Idee wo die Brechstange am Besten anzusetzen wäre?

Salute,
Simon

 

[yjnthaar]

Inzwischen bin ich etwas älter, weiser und schlauer geworden und es geht folgendermassen (falls das hier überhaupt jemand interessiert):

Das lokale Open Directory wird gar nicht benötigt. Über "Verzeichnisdienste" koppelt Mensch seinen Server an das bestehende Open LDAP an. Nun können mit dem Arbeitgruppenmanager lokale Gruppen (Knoten: /lokal/default/) angelegt werden und diese mit LDAP Usern bestückt werden.

Der Rest ist ein spaziergang. Im Server Admin ein Laufwerk freigeben und die Gruppe als berechtigt hinzufügen, fertig ist die Laube.

Einziger Haken im Moment noch: Das ganze funktioniert nur über Leute, die über AFP ein Sharing mounten. Mit SMB funktioniert das ganze nicht, da dieses Protokoll scheinbar anders "tickt". Habe mir sagen lassen, das es an der Übermittlung der gehashten Passwörter aus dem LDAP liegt, das es nicht geht.

Ich bleibe dran...

Gruss,
Simon

 

[linuxdriver]

Samba/SMB benutzt einen anderen Passworthash. Deshalb müsste bei OpenLDAP auch das samba.schema hinzugefügt werden, so das jeder Useraccount noch die "Samba Attribute" (z.B. Passwort) besitzt bzw. diese hinzugefügt werden können.

 

[yjnthaar]

Servus linuxtreiber,

[..]Deshalb müsste bei OpenLDAP auch das samba.schema hinzugefügt werden, so das jeder Useraccount noch die "Samba Attribute" (z.B. Passwort) besitzt bzw. diese hinzugefügt werden können.

Ok so was ähnliches wurde mir schon gesagt. Sovie ich weis hat unser Open LDAP schon diese Schema-Erweitertung. Es kränkelt gerade am Mapping auf der OS X Server Seite, da dort das Attribut "SambaNTPasswort" nicht verfügbar ist. Habe damit den Server Support von Apple schon beschäftigt. Die haben sich bisher aber noch nicht gemeldet...

Eine andere Idee war, den Server in die vorhandene Samba-Domäne (auch auf Linux Basis) aufzunehmen. Leider scheitert dies auch an den begrenzten Einstellmöglichkeiten des Mac OS Servers. Der erwartet als PDC einen anderen Mac OS Server. Eventuell in der samba.conf rumfuhrwerken? Oder ist der Ansatz eventuell komplett für's Klo?

Gruss,
Simon

 

[linuxdriver]

Dann müsste wohl die smb.conf von Hand angepasst werden. Was mir jetzt gerade im Kopf rumspukt wäre das Konstrukt Linux-Server = PDC und OSX Server = BDC. Dies würde aber im Fall mit LDAP auch nichts bringen, da die LDAP DB die Samba Daten mitbeinhaltet. Diese müsste zwischen beiden Server auch synchronisiert werden.

Aber warte mal. Wenn Du die smb.conf so anpasst das der OSX Server direkt die Datenbank des Linux Servers abfragt? Dazu sollten folgende Zeilen eingefügt werden:

ldap admin dn = cn=admin,dc=musterfirma,dc=com
ldap suffix = dc=musterfirma,dc=com
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap

die suffix Zeilen, Domain und die admin-cn müssten noch angepasst werden. Dannach smbpasswd -w "PW des LDAP Admin". Ich habe dies bisher nur in Verbindung mit der Konfiguration als PDC auf einem Linux Server probiert, aber vielleicht funktioniert das auch so unter OSX Server. Ein Versuch kann nicht schaden. Die User müssen hier aber in der LDAP DB über ein SMB-Passwort verfügen.