Вопросы Теги

Как я подключаю свой Файловый сервер FreeNAS к моему Серверу каталогов Mac OS X?

Umask и заключительные полномочия, в которых Вы нуждаетесь, должны составить в целом 777. Так как Вам нужны 775 полномочий, Вам нужно 777 - 775 = 002 как umask.

3
задан 5 December 2012 в 23:09
1 ответ

После нескольких часов поиска в Google и тестирования мне наконец удалось интегрировать FreeNAS 8 с Mac OS X Open Directory. Вот что необходимо для этого:

Во-первых, убедитесь, что Open Directory запущен и работает с помощью приложения Server Admin:

Open Directory Screen Capture

Обратите внимание на базу поиска LDAP и Kerberos Realm .

В веб-интерфейсе FreeNAS настройте службу LDAP следующим образом:

FreeNAS LDAP Configuration FreeNAS LDAP Configuration 2

  • Имя хоста: your.servers.hostname.or.ip
  • Базовое DN: Ваш Поиск LDAP base из Open Directory
  • Разрешить анонимное связывание: Не отмечено (у меня это было отключено и привязано как мой пользователь diradmin , но это может быть ненужным ...)
  • Root Bind DN: uid = diradmin, затем базовый DN
  • Пароль root: Пароль для вашего пользователя Open Directory diradmin . Опять же, это может быть ненужным, я не уверен
  • Шифрование пароля: crypt
  • Суффикс пользователя: cn = users
  • Суффикс группы: cn = groups
  • Суффикс пароля: cn = users
  • Суффикс компьютера: cn = компьютеры
  • Режим шифрования: Выкл.
  • Самоподписанный сертификат: пустой

  • Вспомогательные параметры: 

     ldap_version 3
срок 30
bind_timelimit 30
bind_policy soft
pam_ldap_attribute uid

sasl-host * your.open.directory.server.ip.or.hostname *
sasl-realm * ВАШ.KERBEROS.REALM.FROM.FIRST.STEP *

Вспомогательные параметры являются ключевыми , особенно sasl-host и sasl-realm . Очевидно, замените * your.open.directory.server.ip.or.hostname * и * YOUR.KERBEROS.REALM.FROM.FIRST.STEP * информацией из первого шаг (см. первый снимок экрана)

После сохранения изменений LDAP должен начать работать для всех служб , кроме Samba / CIFS. Часть борьбы заключалась в том, как исправить Samba: после первоначальной настройки службы LDAP на FreeNAS я обнаружил, что никакие пользователи не могут подключаться через Samba вообще , даже пользователи, локально определенные на машине FreeNAS.

Там не было ошибок в журнале Samba, просто на клиентских машинах ошибки запрещены. Дополнительные исследования показали, что мне пришлось включить сервер FreeNAS Samba для аутентификации в Mac OS X Open Directory с использованием SASL отдельно от конфигурации LDAP.

Важно отметить, что база данных LDAP Mac OS X не содержит данных пароля . Аутентификация доступна только через SASL / Kerberos. Цитата Дэвида Колвилля1 на форумах Apple :

В отличие от некоторых других каталогов LDAP, OS X не хранит пароль внутри записи LDAP - он использует механизм «SASL» - он запрашивает «AuthenticationAuthority» для указания места, где можно получить пароль пользователя.

Пароли хранятся внутри PasswordServer (сервер SASL), в CRAM-MD5, Digest-MD5, DHX и т. д. (см. стр. 50 Руководства по администрированию Open Directory ).

Вот почему sasl-host так важен в конфигурации LDAP.

Настройте Samba для использования SASL:

ОБНОВЛЕНИЕ 2012-12-31: У меня больше не работает . Я часами пытался определить, почему, и до сих пор не смог.

В веб-интерфейсе FreeNAS настройте службу CIFS следующим образом:

CIFS Configuration Screen Capture

(Экран конфигурации CIFS очень длинный, я объединил самые верхние и внизу для ясности)

  • Модель аутентификации: Локальный пользователь

  • Вспомогательные параметры: 

     пароль server = * YOUR.KERBEROS.REALM.FROM.FIRST.STEP *
клиент ntlmv2 auth = да

После сохранения этих изменений проверьте подключение к Samba с пользователем, указанным в Open Directory, и убедитесь, что вы можете подключиться. Кроме того, протестируйте с помощью AFP / SSH, чтобы убедиться, что они также проходят аутентификацию в Open Directory.

Известные проблемы

Есть несколько вещей, которые я не смог решить:

  1. Домашние каталоги пользователей на сервере LDAP Mac OS X принимают форма /Network/Servers/some.server/some.directory/username . Однако FreeNAS не имеет каталога / Network / Servers . Было бы очень просто использовать mkdir -p / Network / Servers и домашние каталоги пользователей с символической ссылкой, однако / монтируется только для чтения, поэтому я не могу этого сделать. Следовательно, пользователи LDAP не могут иметь файлы .AppleVolumes для пользовательских общих ресурсов AFP .

    ОБНОВЛЕНИЕ 31 декабря 2012 г .: Я обнаружил, что Mac OS X разрешает домашние каталоги в форме / mnt /where / someuser , что позволяет домашнему каталогу пользователя Mac OS X соответствовать файловой системе FreeNAS, решая эту проблему.

  2. Samba / CIFS теперь может аутентифицировать только пользователей LDAP. Это означает, что любой пользователь, подключающийся через Samba, должен иметь antry в базе данных LDAP, локальные пользователи больше не будут работать. Это означает, что у вас не может быть общего домашнего каталога, см. № 1.
6
ответ дан 3 December 2019 в 05:29

Теги

Похожие вопросы