web-dev-qa-db-ja.com

FreeNASファイルサーバーをMacOS Xディレクトリサーバーに接続するにはどうすればよいですか?

ファイルサーバー(FreeNAS 8.0.1/8.2-RELEASE-p7)をMac OS X 10.7 LionDirectoryサーバーのOpenDirectoryに接続しようとしています... Mac OSXが他のサーバーが認証できるLDAPサービスを提供していることを知っていますに対して、しかし私はFreeNASにMac OS X OpenDirectoryに対して認証させるのに非常に苦労しています。

FreeNASファイルサーバーをMacOS Xディレクトリサーバーに接続するにはどうすればよいですか?

3
Josh

何時間ものグーグルとテストの後、私はついにFreeNAS8をMacOS X OpenDirectoryと統合することに成功しました。これを実現するために必要なものは次のとおりです。

最初に、サーバー管理アプリケーションを使用して、オープンディレクトリが稼働していることを確認します。

Open Directory Screen Capture

LDAP検索ベースKerberosレルムに注意してください。

FreeNASのWebGUIで、LDAPサービスを次のように設定します。

FreeNAS LDAP ConfigurationFreeNAS LDAP Configuration 2

  • ホスト名:your.servers.hostname.or.ip
  • ベースDN:YourLDAP検索ベースOpen Directoryから
  • 匿名バインディングを許可する:チェックを外しました(これをオフにして、diradminユーザーとしてバインドしましたが、不要な場合があります...)
  • ルートバインドDN:uid=diradmin,the the Base DN
  • ルートパスワード:オープンディレクトリのパスワードdiradminユーザー。繰り返しますが、これは不必要かもしれません。
  • パスワード暗号化:crypt
  • ユーザーサフィックス:cn=users
  • グループサフィックス:cn=groups
  • パスワードのサフィックス:cn=users
  • マシンサフィックス:cn=computers
  • 暗号化モード:Off
  • 自己署名証明書:
  • 補助パラメータ:

    ldap_version 3
    timelimit 30
    bind_timelimit 30
    bind_policy soft
    pam_ldap_attribute uid
    
    sasl-Host *your.open.directory.server.ip.or.hostname*
    sasl-realm *YOUR.KERBEROS.REALM.FROM.FIRST.STEP*
    

補助パラメータが重要です、特にsasl-Hostおよびsasl-realm。明らかに、*your.open.directory.server.ip.or.hostname**YOUR.KERBEROS.REALM.FROM.FIRST.STEP*を最初のステップの情報に置き換えます(最初のスクリーンキャプチャを参照)。

変更を保存すると、LDAPはすべてのサービスに対して動作を開始しますexcept Samba/CIFS。苦労の一部は、修正方法でしたSamba:FreeNASでLDAPサービスを最初に設定した後、私はユーザーがSamba経由で接続できない、FreeNASマシンでローカルに定義されたユーザーでさえも発見しました。

Sambaのログにはエラーはなく、許可がクライアントマシンでエラーを拒否しただけです。さらに調査を行った結果、LDAP構成のSASL 個別を使用して、FreeNAS SambaサーバーがMac OS Xオープンディレクトリに対して認証できるようにする必要がありました。

Mac OS X LDAPデータベースにはパスワードデータが含まれていないことに注意してください。認証は、SASL/Kerberosを介してのみ利用できます。引用 AppleのフォーラムのDavid Colville1

他の一部のLDAPディレクトリとは異なり、OS XはLDAPレコード内にパスワードを保存せず、「SASL」メカニズムを使用します。「AuthenticationAuthority」属性にクエリを実行して、ユーザーパスワードを取得できる場所を通知します。

パスワードは、PasswordServer(SASLサーバー)内、CRAM-MD5、Digest-MD5、DHXなどに保存されます(Open Directory管理ガイドの50ページを参照)。

これが、LDAP構成でsasl-Hostが非常に重要である理由です。

SASLを使用するようにSambaを構成します。

UPDATE 2012-12-31:これはもう機能しません。私は何時間も理由を突き止めようとしてきましたが、今のところできませんでした。

FreeNAS Web GUIで、CIFSサービスを次のように設定します。

CIFS Configuration Screen Capture

(CIFS構成画面は非常に長く、わかりやすくするために一番上と一番下を組み合わせています)

  • 認証モデル:Local User
  • 補助パラメータ:

    password server = *YOUR.KERBEROS.REALM.FROM.FIRST.STEP*
    client ntlmv2 auth = yes
    

これらの変更を保存した後、Open Directoryで定義されたユーザーを使用してSambaへの接続をテストし、接続できることを確認します。また、AFP/SSHを使用してテストし、それらもOpen Directoryに対して認証されていることを確認します。

既知の問題点

解決できなかったことがいくつかあります。

  1. Mac OS X LDAPサーバー上のユーザーホームディレクトリは、/Network/Servers/some.server/some.directory/usernameの形式をとります。ただし、FreeNASには/Network/Serversディレクトリがありません。 mkdir -p /Network/Serversとユーザーのホームディレクトリをシンボリックリンクするのは非常に簡単ですが、/は読み取り専用でマウントされているため、それはできません。 その結果、LDAPユーザーはカスタムAFP共有用の.AppleVolumesファイルを持つことができません

    UPDATE 2012-12-31:Mac OSXが/mnt/somewhere/someuserの形式のホームディレクトリを許可し、Mac OSXユーザーのホームディレクトリを許可することを発見しましたFreeNASファイルシステムと一致するホームディレクトリ、この問題を解決します。

  2. Samba/CIFSは、LDAPユーザーのみを認証できるようになりました。つまり、Sambaを介して接続するユーザーは、LDAPデータベースにエントリが必要であり、ローカルユーザーは機能しなくなります。これは、ホームディレクトリを共有できないことを意味します。#1を参照してください。
6
Josh