1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Am Client LDAP/Open Directory- Service einichten

Dieses Thema im Forum "macOS & OS X Server" wurde erstellt von Onophrio, 11.08.06.

  1. Onophrio

    Onophrio Granny Smith

    Dabei seit:
    10.08.06
    Beiträge:
    16
    Hallo alle!

    ich bin seit 10 Jahren Macuser und jobbe z.Zt. ein bisschen rum mit Computer am Laufen halten usw.
    Nun ist in der Arbeitsgruppe auch ein OS X 10.3 Server. Ich habe allerdings noch kaum Erfahrungen mit Serveradministration (außer mir da sonst auch gar keiner!).

    Hab eine allgemeine Frage und eine Spezielle:

    a) gibt's irgendwo im Netz ein OS-X-Server- Turorial w man sich einarbeiten kann? Gebraucht wird Firewall, LDAP, AFS, SMB und DHCP sowie der Druckerserver. Die Dokumentations- PDFs von Apple sind m.E,. eher weniger geeignet einem das verständlich zu machen.

    b) Wie konfiguriere ich einen OS X Client so, dass er im Anmeldefenster seine Benutzerinformationen vom Server holt? Hab OpenDirectory aktiviert und finde auf den Clients auch 127.0.0.1. Aber was muss man dann machen?

    Und was muss man auf dem Server machen? Reicht es die Benutzer zu erstellen und ihnen ein Home-Verzeichnis zu erstellen /zuzuweisen?

    AFS und SMB (Windwos) sind aktiviert.
     
  2. stk

    stk Grünapfel

    Dabei seit:
    05.01.04
    Beiträge:
    7.141
    Moin,
    Das hilft Dir beim OS X Server leider verdammt wenig. Das ist ein Wolf im Schafspelz. Das schaut ganz harmlos wie OS X aus, ist aber untendrunter ein echter Server der einiges an Knowhow verlangt.

    Bitte nicht böse sein, aber nach allem, was ich in deinem Post gelesen habe, hast Du schon alle Fehler gemacht, die man insbesondere bei der Einrichtung von LDAP und allen darauf aufbauenden Diensten machen kann.

    Leider gibt es auch kein vernünftiges Tutorial für die Servereinrichtung, so daß mir wirklich nur der Rat bleibt: such Dir einen Profi, der das kann, schau ihm über die Schulter und lerne dabei. Das Geld das Du dafür ausgibst ist ein Bruchteil dessen, was Du in eigenem Gedaddel versenkst und hinterher immer noch nicht weiter bist. Ich weiß aus eigener Leidvoller Erfahrung wo von ich rede.

    Gruß Stefan
     
  3. Onophrio

    Onophrio Granny Smith

    Dabei seit:
    10.08.06
    Beiträge:
    16
    Du sagst es: LEIDER ist das nicht so intuitiv wie OS X als Client....

    Mit Profis ist das nicht so einfach, da Macs von unserem Rechenzentrum nicht unterstützt werden, also auch keine Kurse angeboten werden....

    Vielleicht kann mir ja mal wer ein paar Eckpunkte nennen, der Aufbau sollte bei mir relativ einfach sein, alles auf einer Maschine und maximal 30 User.
     
  4. stk

    stk Grünapfel

    Dabei seit:
    05.01.04
    Beiträge:
    7.141
    Moin,

    aus welcher Ecke bist denn? Vielleicht kann man Dir vor Ort helfen. Ansonsten fürchte ich, wird das ein Endlosthread ohne großen Erkenntnisgewinn.

    Gruß Stefan
     
  5. Onophrio

    Onophrio Granny Smith

    Dabei seit:
    10.08.06
    Beiträge:
    16
    Hi,

    also ich befinde mich im Südwesten des schönen Bayernlands. Der Server aber steht in Tübingen an der Uni. Der hat aber eine feste IP, kann man da nicht "Remote" drauf zugreifen?
     
  6. stk

    stk Grünapfel

    Dabei seit:
    05.01.04
    Beiträge:
    7.141
    Moin,

    Remotezugriff braucht noch etwas mehr als eine feste IP, insbesondere passende Dienste wie ARD, VNC, SSH und/oder VPN die den Zugriff von außen steuern, ggf. unterbinden und protokollieren.

    Dazu kommt, das die Einrichtung eines LDAP-Verzeichnisses denkbar ungeeignet ist, um es Remote zu erledigen. Die o.g. Dienste haben allesamt etwas mit Benutzerrechten zu tun, die wiederum vom LDAP (dann, wenn eingerichtet) zentral verwaltet werden. Du ziehst Dir als zwischendurch einfach mal den Boden unter den Füßen weg, wenn Du das Remote versuchst.

    Außerdem muß sichergestellt sein - erst recht bei so etwas umfänglichem wie einem Uni-Netz - das sich der Server in die bestehende Infrastruktur vernünftig integriert. Zumeist sind Unis bereits mit LDAP-Verzeichnissen ausgestattet, die dann nur noch repliziert werden müssen, etc. etc. Also erst recht kein Feld, wo Du mit Trial-n-Error wirklich weiter kommst!

    Ich bleibe bei meinem Tipp: Experte vor Ort finden und engagieren. Den Vertrag zur Einrichtung so formulieren, das etwas mehr als eine Grundeinweisung als Schulung dabei rausspringt um dann zu wissen wie's geht.

    Gruß Stefan
     
  7. tjp

    tjp Baldwins roter Pepping

    Dabei seit:
    07.07.04
    Beiträge:
    3.250
    Meine Erfahrungen mit Servern beschränkt sich auf UNIX Server. In einem UNIX Netz werden die Daten normalerweise mit DNS, [BOOTP, DHCP], [NIS, NIS+, LDAP] und NFS/ONC ausgetauscht.

    So wie Du das Thema angerissen hast, fehlt dir leider jedwege Erfahrung. Wenn Du das wirklich selbst machen willst/mußt bleibt dir nichts anderes übrig als klein anzufangen. Die Daten aus einem zentralen LDAP-Server zu übernehmen erscheint mir zu diesem Zeitpunkt illusorisch.

    In einem großen Netz übernimmt ein LDAP-Server so ziemlich alle klassischen Verzeichnisserveraufgabe. D.h. DHCP, DNS, NIS, NIS+, NetInfo werden entweder durch ein Frontend mit LDAP-Backend ersetzt oder greifen zukünftig direkt auf LDAP zu. Zum Beispiel kann man DNS unter Solaris komplett in die Tonne treten, so daß die Clients via LDAP die notwendigen Anfragen tätigen. Das hat den Vorteil, daß es keine gekaperte DNS Abfragen mehr geben kann, da man LDAP Verbindungen via SSL schützen kann. DHCP liefe in so einem Fall weiter, aber der DHCP Server würde sich die Daten direkt aus dem LDAP-Server holen.

    Da nun aber in einem Netzwerk im Endausbau fast alles von LDAP abhängt muß man mehrere Server aufstellen, so daß es keine Probleme gibt. Läuft der LDAP-Server nicht mehr, geht sonst _gar_ nichts mehr. Die LDAP-Server sind dann die einzigen Computer, die noch statisch konfiguriert werden.

    Das große Problem dabei, Du mußt wissen wie die alten Server-Dienste zu konfigurieren sind und Du mußt wissen wie man das ganze unter LDAP zu konfigurieren hat. Leider kenne ich keine brauchbare Dokumentation für MacOS X, für Solaris, AIX, Linux gibt es sehr viel Dokumentation. Nachdem ich den Kram für alle Plattformen zusammengesucht hatte, war's ein DIN A4 Aktenordner voll, und das war nur das LDAP-Zeugs.

    Das Problem dabei, LDAP wird für wahnsinnig viele Dienste als Account-Verwaltungsserver benutzt, so daß telnet, ssh, IMAP, POP3, Proxy, ftp, Web-Server, ... das benutzen. Damit alle diese Dienst zufriedenstellend bedient werden muß der LDAP-Tree sehr sorgfältig geplant werden, und exakt darüber findet sich in der Apple schlichtweg gar nichts.

    Die Apple Handbücher hast Du hoffentlich bereits. In MacOS X wird ein OpenLDAP Server verwendet, unbedingt die Doku zu diesem Server lesen. Die SUN Doku könnte hilfreich sein, wenn Du in der Lage bist das SUN spezifische dir wegzufiltern. Bei IBM gibt es diverse Redbooks zum Thema LDAP, allesamt durchlesen, da wird erklärt wie man einen LDAP-Server für mehr als nur die alltäglichen Aufgaben aufsetzt, und es gibt eine Einführung in LDAP.
     
    #7 tjp, 15.08.06
    Zuletzt bearbeitet: 15.08.06
  8. Onophrio

    Onophrio Granny Smith

    Dabei seit:
    10.08.06
    Beiträge:
    16
    Hi,

    danke erstmal, vor allem die Redbooks schau ich mir auf jeden Fall an.

    Möchte hier mal kurz umschreiben was der Server überhaupt tut / tun soll, denn ich denke die Anforderungen sind nicht sooo gewaltig.

    • max. 30 User
    • er macht zentral die Backups der wichtigsten paar User
    • Er stellt jedem User 1 GB Speicherplatz kennwortgeschützt zur Verfügung
    • Es läuft eine kleine interne Homepage mit Adressliste usw. für internen Gebrauch

    Und wir würden gerne noch verwirklichen:

    • eventuell: über die zweite Netzwerkkarte und Switch für 5 Macs per DHCP einen Netzzugang bereitzustellen um IP- Adressen zu sparen. Muss aber nicht unbedingt sein.

    • Dass die interne Homepage passwortgeschützt ist, am besten ohne .htaccess oder so einrichten zu müssen

    -->
    • eben dass andere Macs im Netz beim Anmelden auf das Home- Verzeichnis des Users auf dem Server zugreifen. Sprich dass der User auf jedem Mac immer seine gleiche Umgebung vorfindet. Das ist das, was ich mit OpenDirectory machen muss, oder? Dabei handelt es sich auch um 5, vielleicht 7 Macs als "Clients". <--

    Jeder Computer im Netz hat bisher eine feste, vom Internet aufrufbare IP.
    Es ist kein Mailserver, WIN-User brauchen nur ihren Speicherplatz.
     
  9. stk

    stk Grünapfel

    Dabei seit:
    05.01.04
    Beiträge:
    7.141
    Moin,

    paßt schon alles ganz gut zusammen. Auch bei 30 Usern kannst mit 1 GB Quota entspannt alle sichern. LDAP übernimmt die Bereitstellung der Homedirs, richtig. Da dann alle zentral in einem Benutzerordner auf dem Server liegen kannst den einfach rücksichern. Die Userstammdaten kannst dann noch für die Rechteverwaltung der Webseite einsetzen. Das mit der zweiten Netzwerkkarte habe ich nicht ganz verstanden worauf Du hinaus willst ?!

    Egal - ich würde mal schätzen einen Tag Vorarbeit um das Teil ordentlich zu planen, einen Tag Einrichtung und einen Tag Test und Feinschliff, dann steht das Teil.

    Gruß Stefan
     
  10. Onophrio

    Onophrio Granny Smith

    Dabei seit:
    10.08.06
    Beiträge:
    16
    Okay, drei Tage sind also okay. Meinst Du das mit nem OSXperten oder nach Einlesen allein?
     
  11. stk

    stk Grünapfel

    Dabei seit:
    05.01.04
    Beiträge:
    7.141
    Moin,

    3 Tage meine ich für jemanden, der weiß wo er hinlangen muß. Zum üben reichen 3 Wochen nicht.

    Gruß Stefan
     
  12. tjp

    tjp Baldwins roter Pepping

    Dabei seit:
    07.07.04
    Beiträge:
    3.250
    Um es für Onophrio klarzustellen, exakt dies tut LDAP nicht!

    LDAP liefert Daten über den Account, aber es ist kein Fileserverdienst.
     
  13. stk

    stk Grünapfel

    Dabei seit:
    05.01.04
    Beiträge:
    7.141
    Moin,

    hast ja recht ;). Natürlich braucht's noch AFP oder SMB dazu um das Homedir selbst bereitzustellen.

    Gruß Stefan
     

Diese Seite empfehlen