Tuesday, September 8. 2009
Mac OS X und OpenLDAP
Wer mich kennt, weiß ich bin kein Freund von Macs.
Gestern und heute habe ich mich bemüht ein paar Mac Minis in das Fachbereichsnetzwerk zu integrieren. Was unter Windows (Samba) und Linux (OpenLDAP und NFSv4) kein Problem war, bereitete erstmal einigen Ärger.
Zuerst einmal klappte die Verbindung mit TLS bzw. SSL nicht. Sobald man es im grafischen Client verwendet, kann man nur noch manuell fortfahren. Die Ursache: obwohl SSL aktiv ist, wird die Option "LDAP-Port" auf 389 eingestellt. Sobald man auf den TLS-Port 635 wechselt, klappt alles (oder auch einfach die Option benutzerspezifischer Port ausschaltet).
Dann muss man noch das Schema anpassen - default sucht der Client nach objectclass=apple-user..
Das ist aber alles kein Problem - nur es klappt erstmal nicht. Ursache ist scheinbar das Zertifikat für den LDAP-Server. Obwohl die Root-CA im System-Schlüsselbund als trusted eingetragen ist, klappt der Verbindungsaufbau nicht.
Sucht man ein wenig im Netz findet man den Hinweis TLS_REQCERT einfach auf never zu schalten. Dann klappt es auch, nur der Client prüft das Zertifikat vom Server nicht mehr - nicht schön. Die Lösung die ich nun gefunden hab: root-Zertifikat im PEM-Format runterladen und per TLS_CACERT den Pfad dorthin angeben. Dann klappt auch die Zertifikatsvalidierung...
Warum klappt das nicht direkt? Und warum muss ich auf BSD-Level die Anpassung machen wenn ich doch eine grafische Oberfläche zur Administration habe? Bei Apple findet man in der Knowledge-Base nur einen Tipp in Bezug auf self-signed Certificates.. Nicht wirklich passend weil ich ja gerade eine CA-Chain habe. Eine Beschreibung wie es mit "echten" Zertifikaten geht, gibt es nicht.
Gleichzeitig fällt dann noch auf, dass das Testtool "dirt" das eingegebene Passwort im Klartext auf der Konsole ausgibt - also darf man nur im einsamen Büro die Verbindung sowie die Authentifizierung darüber testen..
Danach sollte das Dateisystem für die Benutzer eingebunden werden. Bei allen Linux-Distros (auch ältere wie Fedora Core
klappte es auf Anhieb. Jetzt musste ich feststellen, dass Leopard keine Unterstützung für nfsv4 hat.
Wenn man es doch probiert mit
kommt:
Das bedeutet konkret: kein idmapd-Support (also sind alle Besitzer aller Dateien inkorrekt). Es gibt ein Google Code Projekt, dass jetzt ausprobiert wird - aber das mach ich nicht mehr...
Gestern und heute habe ich mich bemüht ein paar Mac Minis in das Fachbereichsnetzwerk zu integrieren. Was unter Windows (Samba) und Linux (OpenLDAP und NFSv4) kein Problem war, bereitete erstmal einigen Ärger.
Zuerst einmal klappte die Verbindung mit TLS bzw. SSL nicht. Sobald man es im grafischen Client verwendet, kann man nur noch manuell fortfahren. Die Ursache: obwohl SSL aktiv ist, wird die Option "LDAP-Port" auf 389 eingestellt. Sobald man auf den TLS-Port 635 wechselt, klappt alles (oder auch einfach die Option benutzerspezifischer Port ausschaltet).
Dann muss man noch das Schema anpassen - default sucht der Client nach objectclass=apple-user..
Das ist aber alles kein Problem - nur es klappt erstmal nicht. Ursache ist scheinbar das Zertifikat für den LDAP-Server. Obwohl die Root-CA im System-Schlüsselbund als trusted eingetragen ist, klappt der Verbindungsaufbau nicht.
Sucht man ein wenig im Netz findet man den Hinweis TLS_REQCERT einfach auf never zu schalten. Dann klappt es auch, nur der Client prüft das Zertifikat vom Server nicht mehr - nicht schön. Die Lösung die ich nun gefunden hab: root-Zertifikat im PEM-Format runterladen und per TLS_CACERT den Pfad dorthin angeben. Dann klappt auch die Zertifikatsvalidierung...
Warum klappt das nicht direkt? Und warum muss ich auf BSD-Level die Anpassung machen wenn ich doch eine grafische Oberfläche zur Administration habe? Bei Apple findet man in der Knowledge-Base nur einen Tipp in Bezug auf self-signed Certificates.. Nicht wirklich passend weil ich ja gerade eine CA-Chain habe. Eine Beschreibung wie es mit "echten" Zertifikaten geht, gibt es nicht.
Gleichzeitig fällt dann noch auf, dass das Testtool "dirt" das eingegebene Passwort im Klartext auf der Konsole ausgibt - also darf man nur im einsamen Büro die Verbindung sowie die Authentifizierung darüber testen..
Danach sollte das Dateisystem für die Benutzer eingebunden werden. Bei allen Linux-Distros (auch ältere wie Fedora Core
klappte es auf Anhieb. Jetzt musste ich feststellen, dass Leopard keine Unterstützung für nfsv4 hat.Wenn man es doch probiert mit
- mount -o nfsvers=4 server:/exportedhomes nfsv4
kommt:
mount_nfs: sorry, you must specify vers=4.0alpha to use the alpha-quality NFSv4 support
Das bedeutet konkret: kein idmapd-Support (also sind alle Besitzer aller Dateien inkorrekt). Es gibt ein Google Code Projekt, dass jetzt ausprobiert wird - aber das mach ich nicht mehr...
Trackbacks
Trackback specific URI for this entry
No Trackbacks
Quicksearch
Statische Seiten
Calendar
|
May '12 | |||||
| Mon | Tue | Wed | Thu | Fri | Sat | Sun |
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 | |||
Kategorien
Blog abonnieren
Creative Commons
Blog Administration
Show tagged entries
26c3 cisco Coding darmstadt dhcp dotNet fachschaft Failover Foto Fun Gadgets Games General gremienarbeit Hacking Handy Hardware Internet Java Kino LAN-Party Linux Microsoft netzwerk Office openldap PHP planspiel Redundanz Server staub studierende Studium stupa switch TV twitter Verwaltung Virtual Server Wahlen Windows Work ältestenrat