我已经设置了一台装有 OSX Server 3(Mavericks 10.9.2)的 Mac Mini,使用了 Open Directory 和 Profile Manager(邮件等全部设置完毕并正常运行)。
现在的情况是,在本地网络内部,一切都运行良好。客户端可以绑定到 OD,用户可以登录。我可以安装信任和设置配置文件(自定义或组配置文件),并且配置文件中提到的所有服务都已正确配置。我可以登录和退出,在不同的 Mac 上与不同的用户一起反复操作 100 次,一切正常。
我的目标是公开提供这项服务。该域具有我拥有的 FQDN,为简单起见,假设为server.domain.com
。现在,我将客户端绑定到 OD 的唯一方法是使用 LDAP 映射RCF2307
(不使用 SSL)和使用目录实用程序的 DN 后缀dc=server,dc=domain,dc=com
。选项from server
或open directory
将引发几个错误,例如Connection failed to node '/LDAPv3/server.domain.com (2100)
。
首先,我不太明白为什么客户端不能像在本地一样绑定到 OD,无论有没有 SSL(所有端口都是开放的,实际上所有端口都是开放的,而不仅仅是 389,636 和 1640,不确定我是否遗漏了任何一个)。
当客户端使用 LDAP 映射 RFC2307 进行绑定(仅不使用 SSL)时,客户端能够进行身份验证、登录甚至加载信任配置文件。但每个设置配置文件都会失败,并显示“Debug Message: Unable to find GUID in user record OD
或安装失败” missing user identification
。
有没有办法让它在没有 RFC2307 的情况下工作?因为使用RFC2307
并且不从服务器提取映射或使用时会缺少很多东西open directory
。
这种设置可行吗?还是我应该使用 VPN 来与 OD 进行身份验证?
网络设置是调制解调器/路由器(DHCP 关闭),WAN NAT 到 Airport Extreme(使用 DHCP+NAT)。AE 会通过消息通知,double NAT
但我在任何其他服务上都没有遇到任何问题。因此 WAN -> 192.168.2.220(静态),AE -> 10.0.1.*(dhcp)
使用外部输出DIGdig server.domain.com
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;server.domain.com. IN A
;; ANSWER SECTION:
server.domain.com. 77 IN A 91.50.*.* (valid WAN IP)
;; SERVER 172.*.*.1#53(172.*.*.1) (iPhone)
从客户端和服务器本地进行 DIG(相同输出)
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;server.domain.com. IN A
;; ANSWER SECTION:
server.domain.com. 10800 IN A 10.0.1.11
;; AUTHORITY SECTION:
server.domain.com. 10800 IN NS domain.com. (used for email send in relay)
server.domain.com. 10800 IN NS server.domain.com.
;; SERVER 10.0.1.11#53(10.0.1.11)
我应该检查什么吗?只有 OSX。
-- 双重 NAT 问题,将服务器直接插入到调制解调器/路由器上,使用静态 IP,问题仍然存在。猜想这排除了双重 NAT 的问题。
-- 更改IP-检查主机名附带没有什么可改变的,例如成功。
Primary address = 10.0.1.11
Current HostName = server.domain.com
DNS HostName = server.domain.com
目前,我已经通过使用管理员帐户强制执行永久 VPN 连接在启动时。这意味着在登录之前,连接已经建立或正在进行中。
当我有更多时间时,我会继续写这篇文章,同时找到每个相关应用程序的所有必要 .log 文件。我有一些怀疑,但当我有更多时间时,我必须进行更多调试。
Unless, of course, I get sidetracked with having a life. Which is arguably
not very likely.
krypted.com
答案1
为了顺着你的问题的思路,请检查你的调制解调器/路由器配置。你需要确保 WAN->LAN 端口对 TCP 和 UDP 均开放。
警告:配置和维护起来可能非常麻烦!
看来您已配置好 VPN 并开始运行。我建议您继续这样做,除非您愿意在路由器上花费更多时间。