Mac OS X Leopard与目录服务(AD/OD)集成宝典(3)

yfwdzlwlrk

3. 配置客户端主OD认证
　　Mac OS X的客户端使用Utilities目录中的Directory Utility程序来设置.
A. 添加一个主OD到目录服务搜索路径
1. 运行Directory Utility并登录, 点击"+"按钮以添加目录服务到本地的目录搜索. 建议使用你的服务器名，当然用IP地址也可以. 点击OK.

2. Directory Utility将通过你的服务器获得配置信息，然后让你做"认证绑定"(authenticated bind).当你希望通过计算机列表来管理用户的时候，这个功能很有用，因为它将在目录服务中自动建立计算机账号."认证绑定"也让你来管理(客户的)登录／登出运行脚本. 对于本练习，我们不做这不，点击OK就好.

现在已经配置好了(客户端).


B. 核实目录连接并用网络用户登录


1. 打开Terminal并执行下面的命令. "dscl"是"Directory Service CommandLine"工具(缩写就是dscl), 它主要是OD浏览. 不要键入提示符("demo:~admin$"和在">"字符之前的部分)

demo:~ admin$ dscl localhost / > cd LDAPv3/ /LDAPv3 > ls demo.apple.edu /LDAPv3 > cd demo.apple.edu/ /LDAPv3/demo.apple.edu > read Users/diradmin apple-generateduid: A036593C-65E7-11D9-BB90-000A95C4219C apple-mcxflags: <?xml version=”1.0” encoding=”UTF-8”?> ...

2. 如果你可以看见一个用户记录，那么你的配置成功了.
3. 从客户端登出，然后用一个前面在Workgroup Manager建立的网络用户登录.




C. 排除目录服务连接故障
目录服务架构很复杂且不容疏忽(unforgiving). 所以，很容易犯错误而很难追索到. 下面有几个工具可协助找到故障(isolate problems).

1. 在Mac OS X服务器上有下面如果进程和LDAP服务相关.

. PasswordService
. kadmind
. krb5kdc
. slapd
. DirectoryService



2. 使用下面的命令来确认上面的服务已经运行:

ps auxw | grep PasswordService

DirectoryServices进程是负责和OD交流而获得信息的后台程序.它提供目录服务的一个抽象层，以使应用程序不用知道如何和LDAP/AD/NIS和其它的目录服务通讯，他们知道如何和DirectoryServices后台进程通许就可以了.正是因为所有的目录服务都通过这个途径，所以你可以打开调试功能，通过查看调试信息来学习DS的配置.

3. 运行下面的命令来使DirectoryService在调试模式运行并监视调试记录, 通过DirectoryService的man文档来查看错误代码的含义.

sudo killall -USR1 DirectoryService tail -f /Library/Logs/DirectoryService/DirectoryService.debug.log

4. 数据包跟踪可以帮助你了解客户端和服务器是否通讯正常. 下面在服务器上运行的命令可以显示有关LDAP相关的数据流.

tcpdump -i en0 -s 0 -vv port 389 tcpdump -i en0 -s 0 -vv port 389 host 10.0.1.9 tcpdump -i en0 -s 0 -vv port 389 or port 106

当Mac OS X客户端登录的时候下面的服务和端口将被用到：
· LDAP 389
· PasswordServer 106
· Secure LDAP 636
· Kerberos 88



　　
5. 检查客户和服务器是不是使用统一的网络时间服务器. Kerberos认证有时间限制，所有的机器时钟误差必须在5分钟之内.