Wie Client-Benutzer auf Server-Dienste Zugriff gewähren?

Dieses Thema im Forum "macOS & OS X Server" wurde erstellt von hartlrobert, 09.03.17.

  1. hartlrobert

    hartlrobert Golden Delicious

    Dabei seit:
    05.03.12
    Beiträge:
    8
    Derzeit sind alle Nutzer als Netzwerkbenutzer auf dem Server mit DNS und Open Directory. Das funktioniert mit jedem Update schlechter, mobile Nutzer sind noch unzuverlässiger (Stichwort: Sync) - ich will/ muss daher weg davon.
    Wenn schon lokale Benutzerordner, brauch ich den Server dafür auch nicht, d.h. ich will auch DNS und sofern sinnvoll möglich Open Directory deaktivieren.

    D.h. die Benutzeraccounts sollen auf den Clients liegen. Diese müssen aber Zugriff auf Serverdienste haben.
    Beispiel: Dateifreigabe via Finder.

    Wie muss ich dazu die Benutzer auf dem Server anlegen?
    - Lokales Verzeichnis (lokales Netzwerkverzeichnis entfällt ja vermutlich nach Abschalten von DNS und Open Directory)
    - Accountname wie auf Client
    - Benutzerordner: nur Dienste

    Danke für jeden hilfreichen Input!
     
    #1 hartlrobert, 09.03.17
    Zuletzt bearbeitet: 10.03.17
  2. Marcel Bresink

    Marcel Bresink Safran Pepping

    Dabei seit:
    28.05.04
    Beiträge:
    4.372
    Die Fragestellung ist in Teilen unverständlich, deshalb antwortet hier keiner.

    Was haben Benutzer mit DNS zu tun?
    Was soll ODP bedeuten?

    Aber man kann erahnen, dass Du netzbasierte Benutzer mit Privatordnern auf dem Server in Benutzer mit lokalen Privatordnern umwandeln willst.

    Es ist richtig, dass es etwa seit 10.7 schwere Designfehler im Betriebssystem gibt, die das Arbeiten mit zentralen Server-Privatordnern fast unmöglich machen. Deshalb ist es nicht ungewöhnlich die Privatordner auf die Client-Rechner zu verlagern.

    Gleichzeitig aber aus den Netzbenutzern lokale Benutzer zu machen, ist keine gute Idee. Die lokalen Benutzer wären alles neue Benutzer, die mit den Berechtigungen der bisherigen Accounts und deren Nutzung von Server-Diensten (z.B. Kontakte, Kalender, Mail auf dem Server) nicht kompatibel wären. Angenommen es gäbe 20 Clients mit 20 Benutzern und alle sollen sich so flexibel auf jedem Rechner anmelden können wie bisher, dann müssten insgesamt 400 neue Benutzeraccounts auf den Clients angelegt und wahrscheinlich bei Millionen von Dateien der Eigentümer umgeschrieben werden.

    Empfehlenswert wäre also nur, die Privatordner zu verlagern und alle Netzbenutzer-Accounts so zu belassen wie sie sind. Diese zu löschen wäre ein riesiger Rückschritt mit vielen Fehlerquellen und Nachteilen.

    1) Als Administrator auf dem Client über die Befehlszeile einen Privatordner mit dem Kurznamen des jeweiligen Benutzers anlegen und mit ditto oder asr die Daten vom Server in diesen Privatordner kopieren. Je nach dem, welches File Server-Protokoll genutzt wird (AFP, NFS, SMB) kann es da in Einzelfällen noch zu Detailproblemen kommen.
    2) In dem betreffenden Netzbenutzer-Account den Eintrag "Benutzerordner" von der bisherigen Server-Freigabe auf "Nur lokal" umschalten.
     
  3. hartlrobert

    hartlrobert Golden Delicious

    Dabei seit:
    05.03.12
    Beiträge:
    8
    Danke Marcel,
    ich meinte natürlich Open Directory und habe es oben korrigiert.

    Mir reicht es, wenn jeder Nutzer (sind nur 5) seinen bestimmten Client hat und nur darauf die Benutzerordner-Daten liegen. Denn eine Anmeldung an einem anderen Client hätte auch nur ein neues, leeres Profil auf diesem Client zur Folge. Das bringt mir nichts.

    Ich nutze eigentlich vom Server dann nur noch die Dateifreigabe (abgestuft nach zwei Benutzergruppen), welche die Clients dann in Freigaben im Finder sehen (sollen).
    Wenn ich dann DNS und Open Directory am Server abschalten könnte, wäre das eine Hilfe (Gäste-WLAN am Router dann möglich usw.).

    Wenn ich es richtig verstehe, ist das noch ein Schritt weiter als in Deiner Antwort oben, oder erfordert Deine Konfiguration oben (1 und 2) weder aktiviertes DNS noch OD auf dem Server? Ich dachte die Nutzerverwaltung auf dem Server erfordert OD.

    Danke nochmals.
     
  4. Marcel Bresink

    Marcel Bresink Safran Pepping

    Dabei seit:
    28.05.04
    Beiträge:
    4.372
    Benutzerorder ist OK, aber wie gesagt bringt der Rest so viele Nachteile, dass ich davon dringendst abrate.

    Ja, Open Directory würde ich auf gar keinen Fall abschalten. Warum das irgendwie Vorteile bringen soll, und was DNS damit zu tun hat, bleibt unverständlich.
     
  5. hartlrobert

    hartlrobert Golden Delicious

    Dabei seit:
    05.03.12
    Beiträge:
    8
    Danke Marcel.
    Jetzt übernimmt der Server DNS mit lokaler fester IP (bspw. 192.168.0.1), die auch auf den Clients als Router (mit Primärzonenname als Suchdomain) angegeben wird.
    Damit kann der Router mangels gültiger IP kein Gäste-WLAN.
    Daher würde ich DNS gerne deaktivieren, muss aber die Clients an den Verzeichnisdienst (derzeit über den Hostnamen des Servers) binden.
    Funktioniert diese Anbindung auch ohne DNS? Für mich hängt das gedanklich zusammen.
     
  6. Marcel Bresink

    Marcel Bresink Safran Pepping

    Dabei seit:
    28.05.04
    Beiträge:
    4.372
    Der Server wird als Router (Gateway) behandelt, obwohl er es nicht ist? Das kann nicht wirklich funktionieren.

    Warum hat der Router keine "gültige" IP und was soll eine "nicht gültige" IP sein?

    Mit anderen Worten, in der Datenbank des DNS-Servers auf dem Mac ist irgendetwas konfiguriert, was der DNS-Server auf dem Router nicht hat oder nicht kann?

    Ein korrekt funktionierendes DNS und eine gleich bleibende IP-Adresse ist für die meisten Server-Dienste feste Voraussetzung. Das heißt aber nicht, dass man dazu den DNS-Server auf dem macOS Server verwenden muss. (Während eines Upgrades von macOS Server ist das sogar ein Problem. Solange der Upgrade-Prozess läuft, darf dieser Server nicht sein eigener DNS-Server sein, sonst gibt es Schwierigkeiten.)
     
    Scotch gefällt das.
  7. Scotch

    Scotch Safranapfel

    Dabei seit:
    02.12.08
    Beiträge:
    6.626
    Weil er den Server als GW eingetragen hat und dieser entweder tatsächlich eine ..0.1 IP hat, sich hinter der Begriffsverwirrung tatsächlich eine Anbindung mit DHCP mit fixer IPv4 IP im Router verbirgt, oder/und die mDNS-Konfiguration kaputt ist bzw. Dubletten in der bind-/openDNS-Konfiguration durch wildes Herumbasteln entstanden sind. Ich bewundere deine Geduld ;)

    @hartlrobert : Mein Tip wäre, das jemand machen zu lassen, der wenigstens grundlegende Netzwerkkenntnisse hat.

    Ciao.
     
  8. hartlrobert

    hartlrobert Golden Delicious

    Dabei seit:
    05.03.12
    Beiträge:
    8
    Ohje, ich sehe schon das ist nicht so einfach wie ich dachte. Soweit auch eine hilfreiche Antwort. Die Konfiguration stammt aus einem Fachbuch und klappt(e) ganz gut. Ich will aber gerade weg davon, insb. vom DNS-Dienst des Servers.
    Denn im Router ist als DNS-Server die fixe lokale IP des Servers. Dadurch funktioniert das Gäste-WLAN nicht.
    Wo/ wie komme ich nun an jemanden, der sich auskennt und mir gegen Bezahlung hilft? Geht das per Fernwartung?
     
  9. Marcel Bresink

    Marcel Bresink Safran Pepping

    Dabei seit:
    28.05.04
    Beiträge:
    4.372
    Das muss nicht falsch sein und es kann gute Gründe geben, das so zu konfigurieren. Die Frage war doch: Arbeitet der Server als Router oder war das oben nur ein Tippfehler? Gibt es einen technischen Grund, den DNS-Server des macOS Server, statt den DNS-Server des Routers zu verwenden?

    Es kann durchaus solche Gründe geben. Das hängt vereinfacht gesagt vom Router ab und davon, welchen Domain-Namen man für das eigene Netz vergeben hat.
     
  10. hartlrobert

    hartlrobert Golden Delicious

    Dabei seit:
    05.03.12
    Beiträge:
    8
    Die AirPort Extreme ist der Router. Dort gebe ich nur die DHCP-Bereiche vor und verweise bei DNS-Server auf die lokale IP des Servers.
    Ich muss den Server auch nicht von außerhalb erreichen, nur die Clients anbinden.
     

    Anhänge:

  11. Marcel Bresink

    Marcel Bresink Safran Pepping

    Dabei seit:
    28.05.04
    Beiträge:
    4.372
    OK, also war das hier nur ein Tippfehler?

    Der Server ist wahrscheinlich nur als DNS-Server angegeben, nicht als Router?

    Die Frage ist dann immer noch, ob der DNS-Server etwas macht, was die Airport Base nicht kann. Das könnte z.B. ein MX-Eintrag zum Betrieb eines lokalen "Inhouse Mail Servers" sein.

    Je nach dem, um welche Airport Extreme es sich handelt und welche Firmware-Version darauf läuft, könnte auch der Router eine feste IP und einen festen Namen für den Server vorgeben. (Bei Apple heißt diese Funktion "DHCP-Reservierung".) Dann bräucht man den DNS-Server des macOS Servers nicht, obwohl der Open Directory Server weiterläuft.
     
  12. hartlrobert

    hartlrobert Golden Delicious

    Dabei seit:
    05.03.12
    Beiträge:
    8
    Server ist als DNS angegeben, ja. Entschuldige. Der Server macht nur Dateifreigabe und Open Directory. VPN brauche ich nicht wirklich, Profilmanager auch nicht mehr und DNS will ich ja gerade abschalten.
    Auf dem Server ist im DNS auch nur der Hostname des Servers mit dessen IP (192.168.1.2) angelegt.

    AirPort Extreme ist von 2011, aktuelle Version 7.6.8 und hat die IP 192.168.1.1 im Netzwerk.
    Im Bereich Netzwerk könnte ich DHCP-Reservierungen anlegen.

    Welche Einstellungen empfiehlst Du?
    - Internet: DNS-Server nicht ausfüllen
    - Internet: Domain-Name (=Server Suchdomain) belassen
    - Netzwerk: DHCP-Bereich bereits ab .1.2 (1.1 ist ja die Airport selber)
    - Netzwerk: DHCP-Reservierung: .1.2 für Server
    Korrekt?
    Fettes Danke!
     
  13. Marcel Bresink

    Marcel Bresink Safran Pepping

    Dabei seit:
    28.05.04
    Beiträge:
    4.372
    Ich arbeite schon seit Jahren nicht mehr mit Airports, aber so etwas Einfaches müsste auch die aktuelle Firmware noch können.

    Man kann ja mit dig oder lookup überprüfen, ob die Extreme DNS-Anfragen über den Server korrekt beantwortet, nachdem man die Reservierung eingetragen hat. Das muss in Vorwärts- und Rückwärts-Richtung gehen (Name zu IP, sowie IP zu Name). Wenn das klappt, kann man außerhalb des Produktivbetriebs den DHCP-Server die neue DNS-Adresse publizieren lassen und den DNS-Server im macOS Server testweise abschalten. Wenn ein neu gestarteter Client dann normalen Zugriff auf Server und Internet hat und Netzwerk-Accounts noch einwandfrei funktionieren, wäre alles in Ordnung.

    Zur Sicherheit auf dem Server am besten auch noch einmal

    sudo changeip -checkhostname

    laufen lassen, um die Konsistenz zwischen Server-Diensten und DNS prüfen zu lassen.
     
  14. hartlrobert

    hartlrobert Golden Delicious

    Dabei seit:
    05.03.12
    Beiträge:
    8
    Super, RIESENGROßES danke. Das versuche ich am WE gleich.