使用 Mountain Lion OS X 服务器,我们希望设置一个环境,让两个处于不同管理控制之下的 OS X 服务器相互信任。也就是说,服务器 A 拥有用户和其他资源,服务器 B 拥有不同的用户和其他资源,并且每个服务器都可以与属于另一个服务器的用户共享资源(无需在两个服务器上为每个人设置帐户)。这非常类似于拥有两个相互信任的 Windows 域 - 这是 Windows Server 的常见功能。有没有办法使用 OS X 服务器实现这一点?
答案1
Open Directory 不支持与 Active Directory 相同的域信任,但您可以伪造它。只需将两台服务器都设置为 Open Directory 主服务器(即每台服务器都有自己的域),然后将每台服务器加入对方的域(在系统偏好设置 -> 用户和组 -> 登录选项 -> 网络帐户服务器:编辑中)。域彼此之间不会有任何了解,但由于每台服务器都是两个域的成员,因此两个域的用户都可以使用这两台服务器。
Kerberos 身份验证可能存在问题 —— 我不知道 OS X 服务器上的服务是否知道如何处理这种多域成员身份。如果您遇到此问题,则可能必须在 Kerberos 中设置跨域信任。我知道 Apple 过去使用的 MIT Kerberos 实现可以做到这一点,但他们从 OS X v10.7 开始改用 Heimdal 实现。我认为这仍然可行,只是我不再了解具体过程。