| Siec TCP/IP || Otoczenie Sieciowe || Poczta || Usnet || FTP || Konto Shellowe || Czat || IRC || Serwer PROXY |
Logowanie do Domeny Windows NT Żeby korzystać z logowania do domeny NT w systemach Mac OS X należy mieć oczywiście pakiet Samba, standardowo obecny od Mac OS X 10.2 oraz należy posiadać zwykłe konto na serwerze będącym podstawowym kontrolerem domeny (PDC). Jako że protokół SMB jest "kojarzony" z systemami Windows, twoja Samba będzie używać logowania do domeny NT głównie jako uwierzytelniania użytkowników, chcących się dostać do twoich udostępnień. Możesz też ją skonfigurować żeby użytkownik logujący się lokalnie do systemu Mac OS X był tez uwierzytelniany w domenie NT. Poza dołączeniem Mac OS X do domeny NT lub AD możesz w niej wprowadzić tylko po prostu kontrole dostępu przy użyciu serwera haseł. Tak naprawdę prawie wszystko jest dostępne w opisie możliwości Samba/Unix w domenie jest dostępne również w Mac OS X. Właściwie to mógłbym od razu posłać ciebie do czytania artykuliku Logowanie do Domeny - opis dla Samba/Unix. W Mac OS X 10.2 Jaguar dostępny jest standardowo serwer Samba 2.2 co umożliwi ci podłączenie się do domeny w stylu NT 4.0 oraz do serwera haseł. Natomiast od Mac OS X 10.3 Panter dostępny jest standardowo serwer Samba 3.0 rozszerzający powyższe możliwości jeszcze o możliwość podłączenia się do domeny Active Directory. Logowanie do domeny NT/AD lub serwera haseł możesz osiągnąć przez ręczna konfiguracje Samby z poziomu terminala. Czyli właściwie to mógłbym od razu posłać ciebie do czytania artykuliku Logowanie do Domeny - opis dla Samba/Unix. I jeśli interesuje ciebie zaawansowana konfiguracja to przeczytaj wymieniony artykuł. Skoro jesteś użytkownikiem Mac OS X chciałbyś pewno skonfigurować logowanie do domeny w sposób prosty i najlepiej w trybie graficznym. Możliwość konfiguracji w trybie graficznym istnieje od Mac OS X 10.3 Panter w trybie logowania do domeny Active Directory. Odbywa się to za pomocą Directory Access, w której są zdefiniowane usługi katalogowe oparte o Open Directory. Open Directory to swego rodzaju pośrednik miedzy warstwą aplikacji od Mac OS X 10.3 Panter a usługami katalogowymi. Nawet uwierzytelnianie w Sambie w Panterze jest oparte o owe Open Directory, co widać w pliku konfiguracyjnym smb.conf. O Open Directory możesz sobie poczytać pod tym adresem http://developer.apple.com/darwin/projects/opendirectory/. Logowanie do Domeny AD w Mac OS X 10.3 Pantera Wraz z Mac OS 10.3 i zawartą w nim Samba 3.0 możesz podłączyć ten system do usług Active Directory. Nie przerażaj się tylko że będziesz musiał dłubać w plikach tekstowych, w końcu to Mac więc można to zrobić prościej. Dalsze czynności możesz wykonać tylko z prawami administratora. Cała konfiguracja odbywa się poprzez Directory Access. Directory Access jest dostępny poprzez "Application" >> "Utilities" i zawiera listę różnych serwisów do których możesz mieć dostęp z Mac OS X m.in. Active Directory w zakładce Services, jak pokazano poniżej.
Po wybraniu "Configure" dla Active Directory ukaże ci się okno konfiguracyjne jak poniżej. Należy w nim podać przede wszystkim domenę AD do której się podłączamy w polu "Active Directory Domain", las w jakim się znajduje w polu "Active Directory Forest", często obie nazwy są ze sobą zgodne. W poniższym przykładzie jest to "ad.doemna.pl". Ostanie obowiązkowe pole to "Computer ID" czyli nazwa komputera jaki się podłącza do domeny AD. Oczywiście jest to nazwa twojego Mac OS X, a konkretnie nazwa konta maszyny w domenie. Możesz jeszcze użyć dodatkowych opcji ustawień dla Active Directory poprzez wybranie "Show Advanced Options". Wtedy ujrzysz opcje które widać w dolnej części poniższego okna. Owe zaawansowane opcje to:
Gdy już poustawiasz wszystkie opcje związane z Active Directory, trzeba podłączyć twój Mac OS X do domeny. W tym celu wybierz przycisk "Bind" w powyższym oknie, a ujrzysz żądanie autentyfiakacji jak poniżej. Należy tutaj wpisać login i hasło konta posiadającego uprawnienia administracyjne w domenie AD, czyli takiego co pozwoli podłączyć twój komputer do tej domeny. Dane w polu "Computer OU" czyli jednostka organizacyjna komputera pozostaw niezmienione.
Podczas podłączania do domeny możesz ujrzeć komunikat że podane konto maszyny ("Computer ID") już istnieje. Dzieje się to wtedy gdy owe konto założył wcześniej administrator domeny lub gdy podłączasz komputer do domeny gdzie był wcześniej takowy o tej samej nazwie (choćby twój). Jeśli konta maszyny nie ma natomiast, zostanie one teraz automatycznie założone. Jeśli zostanie twój Mac OS X podłączony pomyślnie do Active Directory, zostanie wyświetlony stosowny komunikat oraz przycisk "Bind" zamieni się na "Unbind".
Ostatnim krokiem integrowania Mac OS X 10.3 z domeną AD jest dodanie odpowiedniego wpisu do metod autentyfikacji użytkowników w systemie. Robimy to oczywiście przez "Directory Access" i zakładkę "Authentication", wybieramy "Search:" gdzie zmieniamy standardowe "Automatic" na "Custom Search". Teraz poprzez przycisk "Add" dodaj nową ścieżkę autentyfikacji użytkowników. Ujrzysz nowe okno w którym będziesz mógł wybrać tylko z dostępnych katalogów. Standardowo jest tam "NetInfo" oraz jako że podłączyłeś Mac OS X do Active Directory jest tam też ten katalog, który wybierz. Po tej czynności zakładka "Authentication" powinna wyglądać jak poniżej.
Po powyższym skonfigurowaniu Mac OS X jako klienta Active Directory użytkownicy podłączający się do jego udostępnionych zasobów lub logujący się lokalnie będą uwierzytelniani w domenie AD. Czyli nie będą musieli drugi raz wbijać loginu i hasła podczas logowania zdalnego np. do zasobów Samby, gdyż te dane zostaną zweryfikowane w Active Directory. Logowanie do Domeny AD w Mac OS X 10.4 Tiger/10.5 Leopard Mac OS X 10.4 Tiger oraz 10.5 Leopard, oferuje jeszcze lepsze wsparcie dla Active Directory od swoich poprzedników. Jednak aby zacząć konfiguracje zalecana jest aktualizacja co najmniej do wersji 10.4.1, w przypadku Tigera, zawierającej poprawkę właśnie w sprawie stabilności Active Directory. Oczywiście nie będziesz musiał dłubać w plikach tekstowych, w końcu to Mac więc można to zrobić prościej. Dodatkowo w Mac OS 10.4/10.5 rozbudowana jeszcze bardziej możliwości graficznej konfiguracji AD w porównaniu do Pantery, gdzie parę opcji można było poustawiać już tylko przez komendę dsconfigad i grzebanie w plikach tekstowych. Dalsze czynności możesz wykonać tylko z prawami administratora. W Mac OS X 10.4 Tiger konfiguracje rozpoczyna się poprzez Directory Access. Directory Access jest dostępny poprzez "Application" >> "Utilities" i zawiera listę różnych serwisów do których możesz mieć dostęp w Mac OS X m.in. Active Directory w zakładce Services, jak pokazano poniżej.
W Mac OS X 10.5 Leopard nie ma znanego z wcześniejszych wersji systemu, narzędzia Directory Access. Zostało ono zastąpione poprzez Directory Utility, gdzie rozpoczynamy konfiguracje. Directory Utility jest dostępne poprzez "Application" >> "Utilities". Po uruchomieniu narzędzia Directory Utility naciśnij przycisk Show Advanced Settings, aby miec dostęp do zaawansowanych opcji czyli m.in. Services. Zakładka Services zawiera listę różnych serwisów do których możesz mieć dostęp z Mac OS X m.in. Active Directory, jak pokazano poniżej.
W przypadku konfiguracji Active Directory, na tym czyli różnicy miedzy Directory Access (Mac OS X 10.4 Tiger) a Directory Utility (Mac OS X 10.5 Leopard odmienności się praktycznie kończą. Dlatego dalej opis logowania do domeny Active Directory jest jednolity. Po wybraniu serwisu Active Directory ukaże ci się okno konfiguracyjne jak poniżej. Należy w nim podać przede wszystkim domenę AD do której się podłączamy w polu "Active Directory Domain", las w jakim się znajduje w polu "Active Directory Forest", często obie nazwy są ze sobą zgodne, dlatego wystarczy zostawienie ustawienia domyślnego "Automatic". W poniższym przykładzie jest to "ad.domena.pl". Ostanie obowiązkowe pole to "Computer ID" czyli nazwa komputera jaki się podłącza do domeny AD. Oczywiście jest to nazwa twojego Mac OS X, a konkretnie nazwa konta maszyny w domenie.
Możesz jeszcze użyć dodatkowych opcji ustawień dla Active Directory poprzez wybranie "Show Advanced Options". Wtedy ujrzysz opcje które w Mac OS X Tiger zostały pogrupowane w trzech zakładkach. Pierwsza z nich to "User Experience" jak widać w dolnej części powyższego okna. Owe zaawansowane opcje to:
Kolejna zakładka to "Mapping" pokazana dolnej części powyższego okna. Dostępne są w niej następujące opcje:
Ostatnia zakładka to "Administrative" pokazana oczywiście dolnej części powyższego okna. Dostępne są w niej następujące opcje:
Gdy już poustawiasz wszystkie opcje związane z Active Directory, trzeba podłączyć twój Mac OS X do domeny. W tym celu wybierz przycisk "Bind" w powyższym oknie, a ujrzysz żądanie autentyfiakacji jak poniżej. Należy tutaj wpisać login i hasło konta posiadającego uprawnienia administracyjne w domenie AD, czyli takiego co pozwoli podłączyć twój komputer do tej domeny. Dane w polu "Computer OU" czyli jednostka organizacyjna komputera pozostaw niezmienione.
Podczas podłączania do domeny możesz ujrzeć komunikat że podane konto maszyny ("Computer ID") już istnieje. Dzieje się to wtedy gdy owe konto założył wcześniej administrator domeny lub gdy podłączasz komputer do domeny gdzie był wcześniej takowy o tej samej nazwie (choćby twój). Jeśli konta maszyny nie ma natomiast, zostanie one teraz automatycznie założone. Jeśli zostanie twój Mac OS X podłączony pomyślnie do Active Directory, zostanie wyświetlony stosowny komunikat oraz przycisk "Bind" zamieni się na "Unbind". Logowanie lokalne na konto domenowe Jeśli podczas startu Mac OS X masz włączone wyświetlanie listy użytkowników na których możesz się zalogować, wybierz z niej "Other". Teraz wpisz użytkownika i hasło dostępu do konta w domenie Active Directory, na którego chcesz się zalogować lokalnie. Jeśli logujesz się pierwszy raz na konto domenowe na tym komputerze, zostanie utworzony katalog domowy dla tego użytkownika. Żeby zapobiec wyświetlaniu listy użytkowników lub po prostu zmienić opcje logowania do systemu, przejdź do "System Preferences" -> "Accounts" -> "Login Options" w twoim Mac OS X. Logowanie do Domeny AD z wiersza poleceń W Mac OS X 10.3 - Pantera jak i Mac OS X 10.4 Tiger, całą konfiguracje wtyczki Active Directory w Directory Access, możesz wykonać z wiersza poleceń za pomocą komendy dsconfigad. Komenda ta oferuje również więcej opcji niż jej graficzny odpowiednik czyli owa wtyczka Active Directory. Standardowa konfiguracja Active Directory za pomocą dsconfigad wygląda wg poniższego schematu: dsconfigad -a nazwa_komputera -u użytkownik -p hasło -ou "pełna jednostka organizacyjna" -forest nazwa_dns_lasu -domain nazwa_dns_domeny Jako że powyższy suchy przykład może tylko zniechęcić, poniżej jest składnia tej komendy zawierająca takie same dane jak w konfiguracji graficznej przedstawionej powyżej. dsconfigad -a maszyna -u root -p tajne_hasło -ou "CN=computers, OU=ad, DC=ad, DC=domena, DC=pl" -forrest ad.domena.pl -domain ad.domena.pl Opis wszystkich opcji komendy znajdziesz na stronach podręcznika dsconfigad(8), dostępnych w twoim systemie za pomocą komendy man dsconfigad oraz pod tym adresem http://www.hmug.org/man/8/dsconfigad.html. Katalogi domowe na serwerze AD Jako że usługi katalogowe Active Directory mają umożliwić mobilność użytkowników czyli nieprzywiązanie ich do konkretnego komputera warto składować wtedy katalogi domowe na serwerze AD. Jest to pewnym odpowiednikiem profili mobilnych (przechodnich) znanych z Windows. Niestety w Mac OS X 10.3 mimo że możesz w trybie graficznym skonfigurować podłączenie do Active Directory, nie jest już możliwe ustawienie w tym trybie sieciowych katalogów domowych użytkowników AD. No ale możesz skonfigurować sieciowy katalog domowy z wiersza poleceń za pomocą znanej już ci komendy dsconfigad. Owa funkcjonalność została dodana w Mac OS X 10.3.3 i nie jest zalecana przez Apple. Żeby ustawić przechowywanie katalogów domowych na serwerze dla użytkowników AD, wpisz wykonaj poniższe komendy w terminalu.
UWAGA: Przypisując katalog domowy znajdujący się na serwerze AD do konta użytkownika domenowego z poziomu serwera miej na uwadze że dla użytkowników Mac OS X Panter musisz podać nazwę DNS serwera a nie NetBIOS. Czyli zamiast \\serwer\users\użytkownik co zadziała bez problemu z systemami Windows, dla użytkowników Mac OS X Panter musi być wpisane \\serwer.domena.pl\users\użytkownik. Wynika to z tego że Mac OS X nie rozpoznaje poprawnie nazw NetBIOS a tylko DNS. Możesz o tym poczytać w dokumencie 107943 (ang.) - Using network homes with the Active Directory plug-in for Mac OS X 10.3.3 or later. Modyfikacja smb.conf Mimo powyższej konfiguracji logowania do Active Directory może okazać się potrzebne jeszcze ręczne skonfigurowanie pliku smb.conf. Jest o plik konfiguracyjny Samby czyli udostępnień SMB, w którym standardowo wyłączone jest NTLMv2 oraz podpisywanie transmisji. Może to powodować problemy podczas dostępu nowszych klientów jak Windows XP. Poniżej przedstawiono odpowiednie wpisy do pliku smb.conf w sekcji [global] w Mac OS X Panter i Mac OS X Tiger.
Dave Jest to płatny program do udostępniania i przeglądania w sieci SMB na komputerach z systemem Mac OS X, wspierającym wersje 10.2 Jaguar oraz 10.3 Panter. Co godne uwagi jest też wersje wspierająca Mac OS 8.6-9.2x, będąca chyba jedynym obecnie programem dla tych wersji Mac OS umożliwiającym obsługę sieci SMB. Z poziomu programu Dave można oczywiście m.in. udostępnić udziały oraz co tutaj ważne zalogować Mac OS X do domeny NT.
Dave po zainstalowaniu uruchomi się za pierwszym razem w trybie kreatora pozwalającego w prosty sposób ustawić ci sieć SMB. Program jest potem dostępny poprzez "System Preferences", gdzie w kategorii "Other" dostępne są trzy ikony odpowiadające za jego konfiguracje. Pierwsza to "Dave Login", gdzie możemy ustawić logowanie do sieci SMB (zwanej tutaj "Microsoft networks"). Jak pokazano poniżej po wybraniu w "Dave Login" opcji "Log In" możesz zdefiniować domenę (tutaj Wariaci), Name czyli login (tutaj glappo) i Password czyli hasło. Owe dane będą użyte do dostępu do sieci SMB oraz logowania do domeny w stylu NT 4.0. Dodatkowo możesz zmienić hasło do konta domenowego użytkownika poprzez "Change Password".
Logowanie do domeny NT sprowadza się tak naprawdę do używania w programie Dave udostępniania typu "User Lavel" i do tego jest głownie potrzebne czyli udostępniania udziałów dla użytkowników domenowych. Konfigurujesz to poprzez "Dave Sharnig", gdzie w "Security" ustawiasz "User Lavel" i definiujesz domenę, która potem możesz ewentualnie zmienić poprzez "Change Domain". Zwróć uwagę że sama nazwa "User Lavel" jest bardzo myląca. Jest to zalecana metoda udostępniania zasobów w większych sieciach opartych o domeny NT. Dzięki temu użytkownik musi mieć konto tylko w na kontrolerze domeny NT a nie na każdym komputerze do którego ma mieć dostęp.
Program Dave jest płatny ale można pobrać jego wersje trial, żeby uzyskać kod potrzebny do uruchomienia należy wypełnić formularz na stronie domowej http://www.thursby.com/. Ze względu na cenę polecam program Dave tylko dla systemu Mac OS 8.6-9.2x, gdy potrzebujemy w nich sieci SMB. ADmitMac Kolejny płatny program od firmy Thursby Software, producenta m.in. Dave. ADmitMac jest rozwinięciem programu Dave posiadającym jeszcze większe wsparcie dla DFS, NTLMv2, SMB Signing oraz domen NT w tym Active Directory w roli klienta co jest głównym atutem reklamowym produktu. Zresztą ADmitMac jest kierowany głównie do tych co chcą zintegrować swój Mac OS X z domenami w stylu Active Directory czyli opartymi na Windows 2000/2003. ADmitMac wspiera tylko wersje systemu 10.2 Jaguar oraz 10.3 Panter. Konfiguracja ADmitMac odbywa się poprzez "Directory Access", gdzie się powinien pojawić w zakładce "Services" jak pokazano w dziale Przeglądanie otoczenia sieciowego - opis dla Mac OS X. Po zaznaczeniu programu na liście wybieramy "Configure". Ujzymy cztery zakładki do konfiguracji programu gdzie w pierwszej "Domain Setup" możemy ustawić opcje związane z domena w tym przyłączyć nasz system do domeny NT w stylu 4.0 lub AD. Żeby to uczynić wybieramy w "Domain Setup" opcje "New" i ujrzymy okno jak poniżej.
Podłączenie do domeny sprowadza się na wypełnieniu odpowiednich pól. Jeśli odznaczymy opcje "Acitve Directory Domain" czyli będziemy się podłączać do domeny w stylu NT 4.0 pole "Computer OU" będzie nieaktywne. W każdym razie posiadamy następujące pola do konfiguracji podłączenia do domeny:
Po zatwierdzeniu wpisanych danych w powyższych polach możemy je zatwierdzić żeby przyłączyć komputer do domeny. Poza przyłączaniem do domeny ADmitMac oferuje w zakładce "Sharing" możliwość udostępniania plików i drukarek, w zakładce "WINS" możliwość zdefiniowania serwerów WINS oraz w zakładce "Policies" możemy ustawić opcje podpisywania transmisji czyli SMB Signing oraz kodowanie haseł czyli to co jest opisane w dziale SMB Signing czyli podpisywanie komunikacji i Dodatkowy opis tyczący haseł SMB (kodowanie). Program ADmitMac jest płatny ale można pobrać jego wersje trial, żeby uzyskać kod potrzebny do uruchomienia należy wypełnić formularz na stronie http://www.thursby.com/. Więcej informacji o ADmitMac można znaleźć na stronie domowej http://www.admitmac.com/. Szczególnie interesujące jest porównanie programu ADmitMac z Mac OS X 10.3 Pantera http://www.admitmac.com/admitmac-vs-panther/index.shtml. Uwagi na koniec O integracji Mac OS X Panter z Active Directory poprzez Open Directory możesz poczytać jeszcze w poniższych artykułach:
|
