Active Directory、OpenLDAP 或 Apple 的 Open Directory 具有不同的架构来保存用户信息和组成员身份。在这里有一个开放目录我可以说例如用户的专有名称是 attribute dn,而它似乎是distinguishedName用于 AD 的。
是否有一个站点引用了主 DS 如何保存信息,如果没有,为什么不开始在这里列出它们?我搜索了它但找不到它。
我正在寻找以下内容:
我正在尝试将 Kerio 连接到一个 Open Directory 实例。我正在使用 kinit 来测试设置,我得到以下信息:
$ kinit -V -S host/[email protected] [email protected]
Please enter the password for [email protected]:
Kerberos Login Failed: Cannot resolve network address for KDC in requested realm
即使我 100% 确定密码正确,也会发生这种情况。无论哪种方式,我都更关心消息中说的部分
Kerberos Login Failed: Cannot resolve network address for KDC in requested realm
从运行 OD 的服务器和第二个内部服务器,我收到相同的错误消息。我可以从两台服务器上正确地挖掘和 ping server.domain.co.uk,所以我想不出哪里出了问题。
在我继续前进并将 Kerio 实例连接到我的 OD 之前,我需要它正常工作。
edu.mit.kerberos 文件
[libdefaults]
default_realm = SERVER.domain.CO.UK
[realms]
SERVER.domain.CO.UK = {
admin_server = server.domain.co.uk
kdc = server.domain.co.uk
}
[domain_realm]
domain.co.uk = SERVER.domain.CO.UK
.domain.co.uk = SERVER.domain.CO.UK
[logging]
admin_server = FILE:/var/log/krb5kdc/kadmin.log
kdc = FILE:/var/log/krb5kdc/kdc.log
SERVER 是相关机器的真实主机名,domain.co.uk 是我的 FQDN,或者至少替换了我的 FQDN
感谢您的帮助。
如何确定上次使用 Open Directory 网络帐户的时间?我正在完成用户/组审核,并希望识别最近未使用其网络帐户的用户。
我们最近将所有 2003 服务器域控制器替换为 2008 r2,并尝试实现 PSO,但发现域功能级别必须提升到 2008。我们的环境中有一个运行开放目录的 mac 服务器,它是集成的进入广告。有谁知道我是否确实提高了域功能级别(这是有道理的,因为我们只有 2008 r2 域控制器)会对环境中的 mac 产生什么影响(如果有的话)?Mac 运行 10.6.2,mac 服务器运行相同。Mac 服务器正在运行 OD 并且还绑定到 AD。
我们的企业 LDAP 目录位于 Snow Leopard Server Open Directory 设置中。我正在尝试使用该ldapsearch工具导出 .ldif 文件以导入另一个外部 LDAP 服务器以进行外部身份验证;基本上试图能够在内部和外部使用相同的凭据。
我已经开始ldapsearch工作,并为我提供了“用户”OU 中所有内容的内容和属性,甚至只过滤到我需要的属性:
ldapsearch -xLLL -H ldap://server.domain.net /
-b "cn=users,dc=server,dc=domain,dc=net" objectClass /
uid uidNumber cn userPassword > directorycontents.ldif
这给了我一个可以导入到远程 OpenLDAP 服务器的用户和属性列表。
dn: uid=username1,cn=users,dc=server,dc=domain,dc=net
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: organizationalPerson
uidNumber: 1000
uid: username1
userPassword:: (hashedpassword)
cn: username1
但是,当我在 OD“组”而不是“容器”上尝试相同的查询时,结果是这样的:
dn: cn=groupname,cn=groups,dc=server,dc=domain,dc=net
objectClass: posixGroup
objectClass: apple-group
objectClass: extensibleObject
objectClass: top
gidNumber: 1032
cn: groupname
memberUid: username1
memberUid: username2
memberUid: username3
我真正想要的是根据组成员身份过滤的顶级示例中的用户列表,但看起来成员资格是从组方面设置的,而不是用户帐户方面。一定有办法过滤掉它,只导出我需要的东西,对吧?
我目前正在设置一些运行 Mac OS X Server Snow Leopard 的新 Xserve 机器。其中一台机器将替换我们当前(老化的)Linux 邮件服务器。
Linux 机器正在运行 Dovecot 的(旧)版本,当然 OS X Server 也在运行 Dovecot。然而,Linux 版本已经被戳穿并被鼓励使用 mbox 格式,而 OS X 当然想要使用 maildir 格式。这不是一个真正的问题,我希望mb2md.pl会为我处理这个......
...但是,我正在使用通过 Open Directory 进行身份验证的用户运行此框,并将 MailStore 从其默认位置移动到 RAID 分区。用户在这台机器上没有主目录,而且我对提供对联网主目录的访问权犹豫不决,因为如果文件服务器出现故障并且人们仍然可以收到他们的邮件,我宁愿这个框保持不变。
但是,从阅读 Dovecot 文档看来,我必须为我的邮件服务器提供某种“主目录”(如果没有其他地方可以放置.forward文件)。
有没有一种公认的方式来解决这个问题?我发现很少有关于 OS X 如何通过服务器管理工具管理 Dovecot 的文档,而且我真的更喜欢通过 GUI 进行配置。在命令行上处理 Mac 是完全可行的,但并不是最优的。
注释?任何人?
我有一个运行 iCal 服务的 OS X 10.6 服务器。当绑定到 Open Directory 的计算机上的用户打开他们的 iCal 客户端时,它会自动在端口 8008 上配置他们与 iCal 服务器的连接,即使用户已经在端口 8443 上手动添加了使用 SSL 的日历,这会导致用户拥有重复的日历。
有没有办法关闭非 SSL 连接的 iCal 访问,或者至少关闭 Open Directory 域中客户端的自动配置?
我正在升级我的桌面客户端以使用 Mac OS X 10.6.2,但我遇到了真正的麻烦。网络用户无法使用登录窗口登录。这适用于 10.5.x 客户端。
我还可以以网络用户的身份通过 ssh 连接到受影响的计算机,并且效果很好。我只是不能使用 GUI 登录窗口。
这是我尝试过的:
同样,我可以通过 SSH 登录,但 GUI 登录窗口不起作用!
有什么建议么?
我在办公室管理着一台 OS X 10.5.8 Leopard 服务器。现在它只有标准的 VNC 单一密码验证方式,用于验证屏幕共享。我们的用户名和密码都通过 Leopard Server 的 Open Directory 进行管理。不幸的是,我找不到让屏幕共享在 Open Directory 中查找用户进行身份验证的方法。它只会针对机器上的普通本地用户帐户进行身份验证。我最喜欢的是屏幕共享以在目录中查找用户。这可能吗?如果可以,怎么做?
在 Windows 上有活动目录。
在 Linux 上有几个选项,但设置最简单的选项是什么?我想集中管理用户和组,但除此之外不需要任何花哨的东西。
假设这不必扩展到十几台机器。