我正在尝试让运行 10.7.5 Lion 操作系统的 Mac 使用在 Ubuntu 12.0.4 LTS 上运行的 OpenLDAP 进行身份验证。我很想做的事情之一是使用 Apple 的 Directory Utility 客户端来物理编辑 LDAP 服务器上的条目。我已将我的根 DN 设置为 cn=admin,dc=example,dc=com。但是,我无法使用 DU 客户端进行身份验证来编辑存储在 LDAP 中的条目。我尝试使用“admin”作为用户名,以及“cn=admin,dc=example,dc=com”。有人成功了吗?
答案1
OS X Server 使用 OpenLDAP 作为其 LDAP 服务器,因此 DU 实用程序应该能够管理它。如果没有更多信息,我们无法真正解决此问题。最重要的是,您可以使用 Linux 工具和您指定的凭据管理 LDAP 服务器吗?如果不能,请参阅有关如何设置 OpenLDAP 的指南 http://www.howtoforge.com/linux_openldap_setup_server_client
答案2
我们的 IT 团队偶尔提供的服务之一是使用简单的匿名绑定将 Mac 桌面连接到我们托管在 Linux 上的 OpenLDAP 服务器。我们的 OpenLDAP 服务器没有为 OS X 内置任何架构支持,但从历史上看,我们通过使用内置在 LDAPv3 目录服务插件中的 RFC 2307 模板支持解决了这个问题。当我们开始部署 Lion 时,我们在使用 Directory Utility 本身连接到 OpenLDAP 时遇到了许多问题。
很多问题都集中在 Lion 的 LDAP 插件现在试图使用 LDAP 服务器宣传的最佳 SASL 身份验证方法这一事实上。即使服务器不需要身份验证,Mac 的 LDAP 插件仍会尝试进行身份验证。最终,您将得到一个允许查找但不允许 LDAP 帐户登录的 LDAP 绑定。
我在网上找到的大多数修复方法都涉及进入 GUI 并进行一些更改,然后打开相关的 plist 并进行更多更改。其他人建议在一台机器上设置绑定,然后将相关文件从一台机器复制到另一台机器。
为了使 OpenLDAP 与运行 Lion 及更高版本的 Mac 兼容,我编写了一个脚本来自动化绑定过程,并将其发布在 GitHub 上。它最初是为处理 10.6.x 和 10.7.x 而编写的,但我一直在使用新操作系统版本对其进行测试,并且已验证它(在我的店铺中)适用于 10.6.x 到 10.9.x。