MacCentre.ru Форум

[friendly]

Бьюсь-бьюсь, не получается.

Дано:
1. Есть много маков. У всех локальные эккаунты, почти все являются локальными админами.
2. Есть XServe, который до этого был под пантерой и использовался только в качестве файл-сервера.
3. Проапгрейдились до тигрового сервера.

Что хочется:
1. Сделать аутентификацию пользователей через сервер.
2. Сделать всех пользователей "managed" с возможностью в Workgroup Manager настраивать для них все preferences.
3. Настроить Software Update Server и принудительно привязать всех пользователей к нему, а не к эппловому.
4. Обойтись "малой кровью": не создавать с нуля новых пользователей и т.д.

Как пытался:
1. Запустил сервис Open Directory
2. Сделал его Open Directory Master
3. В Workgroup Manager зашел админом в LDAPv3 директорию.
4. Создал пользователя с таким же именем, как мое локальное на G5.
5. Прописал ему на пробу отключение дока.
6. На локальном G5 в Directory Access включил LDAPv3 и добавил туда сервер.
7. Там же "прибиндил" его к этому серверу.
8. Там же поставил Authentication -> Custom path и добавил домен.

Что вышло:
1. Ничего.
2. При создании на сервере пользователя с другим именем, я смог под этим именем зайти на локальный G5 и все заработало, как и должно было (со всеми установленными ограничениями). При этом для этого пользователя создалась домашняя папка, хотя он и не появился в спсике локальных эккаунтов. Но такой вариант не очень-то подходит. Создавать заново пользователей с другим именем совсем не хочется.

Что я делаю не так?

Спасибо!

[_ZeroNoel_]

Все правильно у тебя получается, логично.

Смотри, когда ты вводишь имя пользователя и пароль на локальной машине происходит следующее:

1) Введенная комбинация проверяется на наличие в локальной базе данных пользователей.

2) Если там совпадение не найдено, то запрос перенаправляется в другую базу данных, указанную в Directory Access -> Authentification

Посколько ты вводишь локальное имя пользователя, то выполняется пункт 1 и дело до сервера не доходит...

Открой Directoty Access, перейди на вкладку Authentification И постмотри в каком порядке стоят базы данных пользователей. Сначала идет /local, а потом LDAPv3 сервера.

Если хочешь использовать существующие учетные записи, то нужно их "склонировать" на сервер. Лично я не советую тебе этого делать, так как проблемы будут довольно серъезные. Проверено на мне

Делать пользователей сетевыми тоже не советую - если сеть не гигабит и сервер не дву-процйессорный (кластерный)- не связывайся

Сделать SoftwareUpdateServer, аутентификацию через сервер и сделать пользователей управляемыми можно и без создания сетевого пользователя...


Если хочешь - позвони мне на мобильный я тебе расскажу обо всех возможных проблемах и потом уж решишь стоит или нет.

[friendly]

Александр, спасибо за развернутый ответ! Про порядок просмотра баз данных я уже дошел сам. Делать пользователей сетевыми я бы не хотел, многие пользователи хранят довольно большие объемы в домашних папках, а сеть - сотка. Мне тут интересно ответили на AFP548. Особенно заинтересовала эта статья про мобильных пользователей. Похоже, что это как раз то, что надо. Однако я, видимо, не до конца понимаю принцип определения прав пользователя на те или иные файлы, в частности зачем на каждого пользователя в тигре идет отдельная группа. Я нахожусь в Киеве и мне немного проблематично звонить тебе: выяснение деталей не очень быстрый процесс. Может у тебя найдется время немного "разжевать" мне про переход на "мобильные" эккаунты. В частности, возможно ли новых мобильных пользователей оставить локальными админами? Еще люди в комментах пишут:

[KostyaKappp]

Как проще сделать это..

[_ZeroNoel_]

Что нужно:

На сервере
1) Завести в WorkGroupManager новую Mac-группу. Назвать как угодно.
2) Добавить в эту группу MAC-адреса тех компов, которые должны получать обновления с сервера
3) Выделить созданную группу и выбрать ее Preferences
4) В свойствах группы выбрать "SOFTWARE UPDATE"
5) Прописать адрес в формате "http://XXX.XXX.XXX.XXX:8088/" (последний слэш - обязательно.)
6) Сохранить

на клиенте
1) Запустить /Applications/Utilities/Directory Access
2) Выбрать LDAPv3, нажать Configure
3) Добавить Мак-сервер, который будет раздавать апдейты.
4) Добавить клиентский мак в OD (OpenDirectory)
5) Перезагрузка.

Если все сделано правильно, то после рестарта должно происходить следующее:

Нажав на яблоко в левом верхнем углу экрана и выбрав SOFTWARE UPDATE, то в заголовке окна появиться имя севрера, с которого будет производится обновления. Например (SOFTWARE UPDATE (XXX.XXX.XXX.XXX)

Точно также устанавливаются ограничения на список запускаемых программ, доступность модулей из SystemPreferences.


Основная идея сетевых пользователей - это хранение хоум фолдеров на сервере. Не более того. По своему опыту скажу, что в нашем ИД (с сетью, основанной на магистральных цисках) заведение сетевых пользователей не оправданно из-за огромного трафика...

Если нужно, могу прислать скриншоты всех окон, где необходимо что-то прописать и что-то добавить, отметить и т.д.