Mac OS X Leopard与目录服务(AD/OD)集成宝典 (2)

2. 配置Mac OS X服务器的主Open Directory

    你将使用在/Applications/Server里面的Server Admin应用程序来配置Mac OS X服务器的共享服务. 在开始设置之前，有几个步骤需要做好，来确认你的服务器已经为运行这些服务作好了准备.

A. DNS设置

配置目录服务的一个主要原因就是可以认证用户登录。而且，用户也从得到所连接的服务器的信任中获益。认证的一个部分就是要决定是谁提出的申请。用户提供用户名和密码来申请就是这个用户的申请.

计算机是由主机名(hostname)来代表的. 当一个用户登录到一个服务器, 你使用的那个客户端计算机将会(希望是)对主机名至少做一些前期的验证. 最基本的确认是检验服务器提供的主机名应该和DNS服务提供的主机名和IP地址对向匹配. 这个就是向前和向后DNS确认(forward and reverse DNS verification).

 

为了确认你的服务器的主机名和DNS的一致, 在你的服务器上根据下面的操作(替换你自己的服务器的值). 不要键入提示符"%"。

 

% hostname xserve.apple.edu % host xserve.apple.edu xserve.apple.edu has address 10.0.1.8 % host 10.0.1.8 8.1.0.10.in-addr.arpa domain name pointer xserve.apple.edu.

 

 

如果你得到了任何的冲突结果，或者"host xyz not found: 3(NXDOMAIN)"消息,那么不是你的主机名没有设置好，就是没有在DNS中正确设置. 主机名可以用scutil命令来设置:

% scutil --get HostName HostName: not set % sudo scutil --set HostName “xserve.apple.edu”

如果是DNS的主机名解析不对，那么单一登录将不会工作. 我们强烈建议，在配置任何Mac OS X服务器之前，白DNS主机名解析设置好.

本节的提示，在"hostname.apple.edu"处使用你自己的服务器的主机名.

B. 配置主Open Directory (Open Directory Master)

1. 打开Console程序, 按"/Library/Logs"边上的"开合三角"(disclosure triangle), 按"slapconfig.log"文件看它的内容. 在一个新安装的服务器中, 它的最后一行应该包括一个设置单独模式(Standalone mode)的索引.

2. 打开Server Admin程序，并且连接到你的服务器(如果需要). 按左边列表中的服务器名，然后按最右边的"Services"标签, 选中"Open Directory"来激活它，最后按右下脚的"Save"按钮.

3. 按在左边列表中你的服务器名的"开合三角"，和Open Directory服务来查看它的状态, 在工具栏上按Settings按钮.

4. 按"Change"按钮并进入"Service Configuration Assistant"

5. 选择生成"Open Directory Master"，并提供一个用户名和密码来作为管理员

6. 在第三页(Master Domain Info)上, 将显示一个Kerberos Realm名称和基础搜索(search base). 那个Kerberos Realm是专用的(arbiturary), 但是一般的格式应该是"SERVER.DEPT_NAME.ORGANIZATION.EDU"以避免和其它的网络Kerberos realm冲突，并且总是全大写的. 那个基本搜索是一个realm的名称，例如"dc=server,dc=dept_name,dc=organization,dc=edu". 如果这个服务器是认证Kerberos realm的话，设置它的名字为"ORGANIZATION.EDU". 注意，如果系统没有显示Master Domain Info, 那么很可能你没有设置正确DNS或者主机名不对.

确认使用自动填充的信息(不是图中的).

7. 按"Continue"按钮，然后返回Console程序，并观察slapconfig.log. 这将是激动人心的一刻，因为建立了一个完全配置的，完全工作的目录服务和Kerberos Key分发中心(Distribution Center). 一些服务策略提示可以忽略.

8. 当服务器完全地设置完毕，返回Server Admin并且按Open Directory服务的"Overview"标签. 按窗口的下放"Refresh"按钮，并确认LDAP，Password服务和kerberos都已经运行正常.

 

C. 为Home目录设置共享

Open Directory的用户可以通过AFp/SMB/NFS来访问Home目录。为了练习的简化, 我们将在Mac OS X服务器上为Open Directory用户设置一个共享, 在后面我们将实验在其它的服务器上配置.

1. 在Server Admin里, 在左边选中你的服务器，在工具栏选中"File Sharing", 点击"Share Points"选项, 确认/Volumes/<boot volume>/Users处的共享存在，这就是通过AFP共享的. 如果不存在，创建一个, 详细步骤参见Mac OS X Server “File Server Administration Guide”的官方文档.

2. 选择”Users"共享, 并点击下面的"Share Point"标签, 选择"Enable Automount"选项, 这时弹出选项面板.

3. 默认的就可以，所以点击"Ok". 如果需要，使用“diradmin”(注:前面建立Open Directory时设置的管理员账号). 完成所有设置后，点击"Save"按钮.

4. 启动AFP服务.

D. 创建Open Directory用户

1. 启动WorkGroup manager并连接到你的服务器. 使用前面建立主Open Directory时设置的管理员账号来确认. 一旦确认了，检查是否在LDAP-shared目录服务处. 点击那个在工具栏中Server Admin按钮下面的小蓝色地球，并选择"LDAPv3/127.0.0.1".

2. 点击Acounts按钮并手动创建一个用户. 对于每个用户，在"Home"标签，选择前面建立的AFP共享, 点击”Create Home Now“按钮.

3. 保存设置并退出Workgroup Manager.