После нескольких часов поиска в Google и тестирования мне наконец удалось интегрировать FreeNAS 8 с Mac OS X Open Directory. Вот что необходимо для этого:
Обратите внимание на базу поиска LDAP и Kerberos Realm .
diradmin
, но это может быть ненужным ...) uid = diradmin,
затем базовый DN diradmin
. Опять же, это может быть ненужным, я не уверен crypt
cn = users
cn = groups
cn = users
cn = компьютеры
Выкл.
Вспомогательные параметры:
ldap_version 3
срок 30
bind_timelimit 30
bind_policy soft
pam_ldap_attribute uid
sasl-host * your.open.directory.server.ip.or.hostname *
sasl-realm * ВАШ.KERBEROS.REALM.FROM.FIRST.STEP *
Вспомогательные параметры являются ключевыми , особенно sasl-host
и sasl-realm
. Очевидно, замените * your.open.directory.server.ip.or.hostname *
и * YOUR.KERBEROS.REALM.FROM.FIRST.STEP *
информацией из первого шаг (см. первый снимок экрана)
После сохранения изменений LDAP должен начать работать для всех служб , кроме Samba / CIFS. Часть борьбы заключалась в том, как исправить Samba: после первоначальной настройки службы LDAP на FreeNAS я обнаружил, что никакие пользователи не могут подключаться через Samba вообще , даже пользователи, локально определенные на машине FreeNAS.
Там не было ошибок в журнале Samba, просто на клиентских машинах ошибки запрещены. Дополнительные исследования показали, что мне пришлось включить сервер FreeNAS Samba для аутентификации в Mac OS X Open Directory с использованием SASL отдельно от конфигурации LDAP.
Важно отметить, что база данных LDAP Mac OS X не содержит данных пароля . Аутентификация доступна только через SASL / Kerberos. Цитата Дэвида Колвилля1 на форумах Apple :
В отличие от некоторых других каталогов LDAP, OS X не хранит пароль внутри записи LDAP - он использует механизм «SASL» - он запрашивает «AuthenticationAuthority» для указания места, где можно получить пароль пользователя.
Пароли хранятся внутри PasswordServer (сервер SASL), в CRAM-MD5, Digest-MD5, DHX и т. д. (см. стр. 50 Руководства по администрированию Open Directory ).
Вот почему sasl-host
так важен в конфигурации LDAP.
ОБНОВЛЕНИЕ 2012-12-31: У меня больше не работает . Я часами пытался определить, почему, и до сих пор не смог.
В веб-интерфейсе FreeNAS настройте службу CIFS следующим образом:
(Экран конфигурации CIFS очень длинный, я объединил самые верхние и внизу для ясности)
Локальный пользователь
Вспомогательные параметры:
пароль server = * YOUR.KERBEROS.REALM.FROM.FIRST.STEP *
клиент ntlmv2 auth = да
После сохранения этих изменений проверьте подключение к Samba с пользователем, указанным в Open Directory, и убедитесь, что вы можете подключиться. Кроме того, протестируйте с помощью AFP / SSH, чтобы убедиться, что они также проходят аутентификацию в Open Directory.
Есть несколько вещей, которые я не смог решить:
Домашние каталоги пользователей на сервере LDAP Mac OS X принимают форма /Network/Servers/some.server/some.directory/username
. Однако FreeNAS не имеет каталога / Network / Servers
. Было бы очень просто использовать mkdir -p / Network / Servers
и домашние каталоги пользователей с символической ссылкой, однако /
монтируется только для чтения, поэтому я не могу этого сделать. Следовательно, пользователи LDAP не могут иметь файлы .AppleVolumes
для пользовательских общих ресурсов AFP .
ОБНОВЛЕНИЕ 31 декабря 2012 г .: Я обнаружил, что Mac OS X разрешает домашние каталоги в форме / mnt /where / someuser
, что позволяет домашнему каталогу пользователя Mac OS X соответствовать файловой системе FreeNAS, решая эту проблему.