OSX Server 3、Mac 客户端绑定到 OD 和配置文件管理器失败

tag-icon tag-icon opendirectory mac-osx-server
OSX Server 3、Mac 客户端绑定到 OD 和配置文件管理器失败

我已经设置了一台装有 OSX Server 3(Mavericks 10.9.2)的 Mac Mini,使用了 Open Directory 和 Profile Manager(邮件等全部设置完毕并正常运行)。

现在的情况是,在本地网络内部,一切都运行良好。客户端可以绑定到 OD,用户可以登录。我可以安装信任和设置配置文件(自定义或组配置文件),并且配置文件中提到的所有服务都已正确配置。我可以登录和退出,在不同的 Mac 上与不同的用户一起反复操作 100 次,一切正常。

我的目标是公开提供这项服务。该域具有我拥有的 FQDN,为简单起见,假设为server.domain.com。现在,我将客户端绑定到 OD 的唯一方法是使用 LDAP 映射RCF2307(不使用 SSL)和使用目录实用程序的 DN 后缀dc=server,dc=domain,dc=com。选项from serveropen directory将引发几个错误,例如Connection failed to node '/LDAPv3/server.domain.com (2100)

首先,我不太明白为什么客户端不能像在本地一样绑定到 OD,无论有没有 SSL(所有端口都是开放的,实际上所有端口都是开放的,而不仅仅是 389,636 和 1640,不确定我是否遗漏了任何一个)。

当客户端使用 LDAP 映射 RFC2307 进行绑定(仅不使用 SSL)时,客户端能够进行身份验证、登录甚至加载信任配置文件。但每个设置配置文件都会失败,并显示“Debug Message: Unable to find GUID in user record OD或安装失败” missing user identification

有没有办法让它在没有 RFC2307 的情况下工作?因为使用RFC2307并且不从服务器提取映射或使用时会缺少很多东西open directory

这种设置可行吗?还是我应该使用 VPN 来与 OD 进行身份验证?

开放目录架构 rfc2307 架构

网络设置是调制解调器/路由器(DHCP 关闭),WAN NAT 到 Airport Extreme(使用 DHCP+NAT)。AE 会通过消息通知,double NAT但我在任何其他服务上都没有遇到任何问题。因此 WAN -> 192.168.2.220(静态),AE -> 10.0.1.*(dhcp)

使用外部输出DIGdig server.domain.com

;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;server.domain.com.     IN  A
;; ANSWER SECTION:
server.domain.com. 77   IN  A   91.50.*.* (valid WAN IP)
;; SERVER 172.*.*.1#53(172.*.*.1) (iPhone)

从客户端和服务器本地进行 DIG(相同输出)

;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;server.domain.com. IN  A
;; ANSWER SECTION:
server.domain.com. 10800    IN  A   10.0.1.11
;; AUTHORITY SECTION:
server.domain.com. 10800    IN  NS  domain.com. (used for email send in relay)
server.domain.com. 10800    IN  NS  server.domain.com.
;; SERVER 10.0.1.11#53(10.0.1.11)

我应该检查什么吗?只有 OSX。

-- 双重 NAT 问题,将服务器直接插入到调制解调器/路由器上,使用静态 IP,问题仍然存在。猜想这排除了双重 NAT 的问题。

-- 更改IP-检查主机名附带没有什么可改变的,例如成功。

Primary address     = 10.0.1.11
Current HostName    = server.domain.com
DNS HostName        = server.domain.com

目前,我已经通过使用管理员帐户强制执行永久 VPN 连接在启动时。这意味着在登录之前,连接已经建立或正在进行中。

当我有更多时间时,我会继续写这篇文章,同时找到每个相关应用程序的所有必要 .log 文件。我有一些怀疑,但当我有更多时间时,我必须进行更多调试。

Unless, of course, I get sidetracked with having a life. Which is arguably 
not very likely.       
                                                               krypted.com

答案1

为了顺着你的问题的思路,请检查你的调制解调器/路由器配置。你需要确保 WAN->LAN 端口对 TCP 和 UDP 均开放。

警告:配置和维护起来可能非常麻烦!

看来您已配置好 VPN 并开始运行。我建议您继续这样做,除非您愿意在路由器上花费更多时间。

相关内容