Magic Triangle

November 16, 2009 3-minute read

Wer mich auf Twitter verfolgt hat vielleicht mitbekommen, dass ich mich in letzter Zeit mit der Integration von Macs in eine Active-Directory-Umgebung etwas intensiver befasst habe. Das lag daran, dass ich die Administration der Macs an unserer Fakultät übernommen habe.

Zur effektiven Verwaltung der Rechner wurde ein Xserve angeschafft, der als Open Directory (OD) fungieren sollte. Dieses OD wurde mit dem Active Directory (AD) der Hochschule, in dem alle User vorliegen, verbunden. Grund für den Verbund ist das Fehlen einiger Einstellungen im Schema des AD. Diese können mit dem OD und den sogenannten Augmented Records für die einzelnen Mac-User nachkonfiguriert werden.

Da ich bei der Einrichtung auf einige Schwierigkeiten gestoßen bin, möchte ich nun hier meine Erfahrungen teilen. Eventuell steht ja mal jemand vor einem ähnlichen Problem.

AD und OD zusammenführen

Nach dem Aufstellen (bzw. Einhängen) des neuen Servers ist es wichtig, als Erstes dem Active Directory beizutreten. Dazu benötigt man den AD-Admin, der das Recht hat, eine neue Maschine aufzunehmen. Die Einstellungen hierfür finden sich in den Verzeichnisdiensten. Mac OS X Server ist seit Leopard so clever und versucht beim Erstellen eines neuen Open Directories mittels Server Admin, wenn der Server bereits einem Verzeichnisdienst zugewiesen ist, keinen neuen Kerberors-Dienst anzulegen und ordnet sich automatisch dem AD unter.

Dieses Verfahren möchte ich hier nicht weiter erläutern, da es recht einfach ist und in einigen anderen Dokumenten schon zur Genüge beschrieben ist.

Anpassen der Einstellungen für Augmented Records

Grund für das Augmentieren einiger Einstellungen ist, dass wir die Pfade für die Home Directories neu setzen wollten. Diese sollten nicht auf die Standardordner zeigen, sondern in einem Unterordner “Mac” für jeden User in seinem Windows Home Directory abgelegt werden. Da es im AD-Schema bereits einen Eintrag für die Home-Verzeichnisse gibt und wir die nicht einfach überschreiben konnten (die Windows-User sollen ja auch weiterarbeiten können ;-)) haben wir uns für die Augmented Records entschieden, mit denen einzelne Einstellungen “versteckt” und durch neue Werte “ersetzt” werden können.

Die nächsten Einstellungen finden im Workgroup Manager (WGM) statt. Zuerst sollte die Vorgabe für die Clients (welche Augmented Records sie annehmen können) angepasst werden. Unter “All Record Types” in der Kategorie “Config” muss hierfür unter “augmentconfiguration” das Attribut “apple-xmlplist” wie folgt angepasst werden:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Augment Attribute List</key>
<dict>
<key>dsRecTypeStandard:Users</key>
<array>
<string>dsAttrTypeStandard:ServicesLocator</string>
<string>dsAttrTypeStandard:HomeDirectory</string>
<string>dsAttrTypeStandard:NFSHomeDirectory</string>
<string>dsAttrTypeStandard:Keywords</string>
</array>
</dict>
<key>Augment Directory Node Name</key>
<string>/LDAPv3/mac00.informatik.fh-nuernberg.de</string>
<key>Augment Search</key>
<true/>
<key>Augmented Directory Node Name</key>
<string>/Active Directory/informatik.fh-nuernberg.de</string>
</dict>
</plist>

Nun sollte noch eine Gruppe zur Verwaltung der User angelegt werden. Dieser werden allerdings die richtigen User aus dem AD und nicht die Augmented Records selbst zugewiesen.

Erstellen der Home Directories

Das Erstellen der Home Directories war das eigentliche Problem, da ich weder Zugriff auf die Userverzeichnisse, noch auf den Server, auf dem die Ordner liegen, hatte.