Få Kerberos ticket från Win 2008 server vid inloggning?

Tråden skapades och har fått 10 svar. Det senaste inlägget skrevs .
1

Vi håller på att bygga ett nytt AD på en Win 2008 server.
Den kör ju kerberos som default.

Borde inte en OS X klient då kunna få en kerberos ticket direkt vid inloggning?

I så fall hur?
Räcker det med att jag knyter os x klienten mot ADt?

  • Medlem
  • Stockholm
  • 2008-03-12 16:57

Du borde ha fått en ticket vid inloggning, iaf om den användaren skall använda andra resurser med..

kolla med kommandot klist i terminalen, eller se om du kan få ut nya av TGS med kinit.

Det här är bara förberedande undersökning om det kommer att fungera vi håller som bäst på att bygga upp vårt nya AD på en 2008 server.

Både win-admin och jag osx-admin har våta drömmar om Singel-sign-on för båda platformarna. Så vi kämpar tillsammans för att uppnå det.

  • Medlem
  • Stockholm
  • 2008-03-12 23:02

ja det funkar bra med single-sign on då Macen kan vara en fullvärdig medlem av AD, dock behöves det lite masserande av ADt men det finns bra dokumenterat av Apple och http://macenterprise.org/ är annars en bra resurs.

sedan 2003 AD är det ju bara LDAP + kerberos uppstylat lite av Microsoft som ADt är, jag har själv varit en i stor AD miljo i blandad soppa (runt 4k användare) och det funkade utmärkt förutom en leverantör av ett skrivarsystem som inte kunde läsa specifikationer som det verkade.. men det är svårt att skylla på Macen för det

Vet du ntity exakt vilka punkter jag ska massera för detta ska fungera så perfekt som du beskriver det?
Apples dokumentation och macenterpise tar jag tacksamt emot.

Så nu har jag testat att knyta en 10.4.11 och en 10.5.2 klient mot 2008 ADt och det fungerar precis som jag ville.
Mao jag kan logga in och jag får min Kerberos tgt.

Och vi gjorde inga förändringar i ADt eller på klienterna.

Nu ska bara win-admin lära sig core-servern som ska bli labb filserver.

  • Medlem
  • Stockholm
  • 2008-03-13 13:14

Det är om du vill ha integration mellan open-direcroty och AD som det kräver lite mer jobb, största anledningen till detta då jag jobbade med den miljön var att få hemkatalogerna för användarna på en OS X server medans användarna själva låg i ADt.

Detta var dock i skiftet mellan 10.3 - 10.4, har lämnat det jobbet och sysslat med helt andra saker sedan dess, så har inte koll på om detta är ett krav ännu med Leopard.

Apples text om det:

Citat:

Apple Servers on Windows Networks
With new Directory Access modules, Apple servers can access account records stored in Active Directory — without requiring any modifications to the Active Directory schema. This enables Windows-based departments or workgroups to take advantage of the low-cost SMB file services in Mac OS X Server, while integrating with their existing Active Directory infrastructure for user account information and authentication. Secure network services — including network home directories — hosted on Mac OS X Server even support single sign-on for clients authenticated using Microsoft’s proprietary Kerberos implementation.

Using the powerful Workgroup Manager application in Mac OS X Server, it’s also possible to manage Mac clients on networks that rely exclusively on Active Directory. This requires some additional configuration of the Active Directory schema to include the necessary records and attributes. Administrators who prefer to use scripts can automate the process using the included command-line tools.

verkar ju inte som det längre om inte annat.

Får korrigera mig själv.
Visst 10.4 och 10.5 binder sig som det ska men när det kommer till att använda Kerberos skiljer det sig. Eller snarare tror jag det är smb package signing som spökar.
10.5 klarar att logga in mot filservern med Kerberos men inte 10.4.

Vi jobbar vidare så får vi se.

  • Medlem
  • International user
  • 2008-03-13 14:48
Ursprungligen av Mattias Hedman:

Får korrigera mig själv.
Visst 10.4 och 10.5 binder sig som det ska men när det kommer till att använda Kerberos skiljer det sig. Eller snarare tror jag det är smb package signing som spökar.
10.5 klarar att logga in mot filservern med Kerberos men inte 10.4.

Vi jobbar vidare så får vi se.

Som du säger, 10.5 ska klara smb package signing, medans 10.4 inte fixar biffen

  • Medlem
  • Gävle
  • 2008-03-13 15:12

I "/System/Library/CoreServices/Kerberos.app" kan du kolla om du fått en ticket eller inte.
Att sen automatiskt anlsuta till en share vid inloggning löser jag enklast med ett shellscript som loginscript.
Genom Finder brukar det bugga..

su $1 -c "mkdir /Volumes/HOMES"
su $1 -c "mount_smbfs //servername.domain.se/$1 /Volumes/HOMES"

CoreServices innehåller mycket godis.

Jaså Finder brukar bugga? Intressant, tack för skriptet!

1
Bevaka tråden