我们正在设置现有的 OpenLDAP(在 Ubuntu 上),以便为我们的 Mac 提供身份验证和 MCX 等。
我们的主目录遇到了问题 - 它们使用 AFP(可能还有 NFS)工作正常,但出于显而易见的原因,我们想使用 Samba,而不想使用 Kerberos。我到处寻找以这种方式使用 Samba 的信息,但一无所获
到目前为止,我简单的方法是将以下架构值从 AFP 更改为 SMB,但没有成功 - 登录失败并出现一般错误。
apple-user-homeurl: afp://server/home/jrhoades
有人有以这种方式使用 Samba 的经验吗?
回答你的好问题:
- 我们专门使用 OpenLDAP 和 Samba - 根本没有 AD。
- Windows XP 和 Macs(10.4 和 10.5 混合)是唯一的客户端。
- 我们希望避免设置 Kerberos 的麻烦 - 如果是在 Kerberized NFS 和 AFP 之间,很可能 AFP 会获胜。
- 我们的 SAN 前面的文件服务器已经运行有 Samba。
- 有人告诉我,没有 Kerberos 的 NFS 是不够安全的(我们有多个独立团体使用我们的文件服务器,存在严重的 IP 影响/规定)
答案1
您能重新编辑并提供更多详细信息吗?您正在设置全部通过 Ubuntu 进行身份验证?是否涉及 Windows 域控制器,还是始终都是 Ubuntu?您是否有 Windows 客户端(XP、Vista、7)连接?这是一个全 Mac 客户端商店吗?只是好奇,为什么您不想要 Kerberos?
在 OS X 上使用 SMB 来管理主目录比较麻烦;我知道有一个人在登录时遇到了各种问题,无法正确映射主目录。驱动器会显示出来,但无论他们如何尝试打开它,他们就是无法访问它。
如果你 100%非窗口商店,我真的建议你直接使用 NFS。我保证你会省去负载心痛的是,它将与您现有的 Unix(y) 权限模式相结合,并且您通常可以完成任务。
如果您有需要连接的 Windows 客户端,那么 Samba 几乎是唯一的选择。
如果你有 Windows 域控制器,并且将 Ubuntu 设置为充当文件服务器的成员服务器,那么你想在您的生活中使用 Kerberos,它将简化您的身份验证。如果您因为担心需要 KDC 而避免使用 Kerberos,那么不用担心,因为 Windows 域控制器将为您提供该功能。
答案2
看来,通过改变以下 ldap 条目
apple-user-homeurl : <home_dir><url>smb://server/</url><path>jrhoades</path></home_dir>
到
apple-user-homeurl : <home_dir><url>smb://server/jrhoades/</url><path></path></home_dir>
修复!
答案3
我面临过类似的问题:我的观点是为不同的客户端(Windows XP、Windows 7、Mac OS 10.6)构建一个具有主文件夹和漫游配置文件的单一域。
我建议两种可能的解决方案:
- Windows 绑定到 Samba PDC,Mac 绑定到 OpenLDAP。在这种情况下,OpenLDAP 需要一些模式(请参阅本主题的下文)。我不知道如何管理它。
- 所有客户端都绑定到 Samba 域。Mac 客户端认为它已加入 AD,不需要其他任何东西。据我发现,Mac 需要 Kerberos。