Die Account Daten konnten nicht überprüft werden weil der verzeichnisserver

User Manual: Apple Mac OS X Server Mac OS X Server v10.5 Leopard - Open Directory - Administration

Open the PDF directly: View PDF

.
Page Count: 322

Download
Open PDF In Browser	View PDF

Mac OS X Server Open Directory – Administration Für Version 10.5 Leopard  Apple Inc. © 2007 Apple Inc. Alle Rechte vorbehalten. Der Eigentümer oder autorisierte Benutzer einer gültigen Kopie der Mac OS X Server-Software darf diese Publikation zum Zweck der Unterrichtung in die Verwendung der Software reproduzieren. Diese Lizenz darf jedoch weder insgesamt noch in Auszügen für kommerzielle Zwecke vervielfältigt oder übertragen werden. Hierzu gehören beispielsweise der Verkauf von Kopien oder das Erbringen von Support-Dienstleistungen gegen Entgelt. Ansprüche gegenüber Apple Inc. in Anlehnung an die in diesem Handbuch beschriebenen Hard- oder Softwareprodukte richten sich ausschließlich nach den Bestimmungen der Garantiekarte. Apple Inc. übernimmt keine Haftung für Druck- oder Schreibfehler. Apple GmbH, Arnulfstraße 19, D-80335 München, Telefon: 089/9 96 40-0 Apple Ges. mbH, Landstrasser Hauptstraße 71/1.Stock, A-1030 Wien, Telefon: 01/71 18 20 Apple Switzerland AG, Birgistrasse 4 a, CH-8304 Wallisellen, Telefon: 01/8 77 91 91 Internet: www.apple.com www.apple.com/de www.apple.com/at www.apple.com/ch Das Apple-Logo ist eine in den USA und weiteren Ländern eingetragene Marke der Apple Inc. Die Verwendung des über die Tastatur erzeugten Apple-Logos für kommerzielle Zwecke ohne vorherige Genehmigung von Apple kann als Markenmissbrauch und unlauterer Wettbewerb gerichtlich verfolgt werden. Apple, das Apple-Logo, Mac, Macintosh, Xgrid und Xserve sind Marken der Apple Inc., die in den USA und weiteren Ländern eingetragen sind. Finder ist eine Marke der Apple Inc. Adobe und PostScript sind Marken der Adobe Systems Incorporated. UNIX ist eine eingetragene Marke von The Open Group. Die Rechte an anderen in diesem Handbuch erwähnten Marken- und Produktnamen liegen bei ihren Inhabern und werden hiermit anerkannt. Die Nennung von Produkten, die nicht von Apple sind, dient ausschließlich Informationszwecken und stellt keine Werbung dar. Apple übernimmt keine Gewähr im Hinblick auf Leistung oder Verwendbarkeit dieser Produkte. D019-0935 / September 2007 1 Inhalt Vorwort 11 12 13 14 15 16 17 18 18 19 Über dieses Handbuch Neue Merkmale und Funktionen in Version 10.5 Überblick Verwenden dieses Handbuchs Verwenden der Online-Hilfe Dokumentation zu Mac OS X Server Anzeigen von PDF-Handbüchern auf dem Bildschirm Drucken der PDF-Handbücher Laden von Aktualisierungen für die Dokumentation Weitere Informationsmöglichkeiten Kapitel 1 21 21 22 23 23 25 26 28 28 29 30 30 31 33 33 33 35 Verzeichnisdienste mit Open Directory Vorteile der Verwendung von Verzeichnisdiensten Verzeichnisdienste und Verzeichnis-Domains Geschichtlicher Hintergrund Datenkonsolidierung Datenverteilung Anwendungsmöglichkeiten für Verzeichnisdaten Zugriff auf Verzeichnisdienste Hintergrundinformationen zu einer Verzeichnis-Domain Die Struktur von LDAP-Verzeichnisinformationen Lokale und gemeinsam genutzte Verzeichnis-Domains Informationen zur lokalen Verzeichnis-Domain Informationen zu gemeinsam genutzten Verzeichnis-Domains Gemeinsam genutzte Daten in vorhandenen Verzeichnis-Domains SMB-Dienste und Open Directory Open Directory als primärer Domain-Controller (PDC) Open Directory als BDC 3 Kapitel 2 37 37 37 38 40 41 43 43 Open Directory-Suchpfade Suchpfadebenen Suchpfad für eine lokale Verzeichnis-Domain Zweistufige Suchpfade Mehrstufige Suchpfade Automatische Suchpfade Spezielle Suchpfade Suchpfade für Identifizierung und Kontakte Kapitel 3 45 46 46 47 47 48 48 49 50 51 52 53 54 55 55 56 56 56 57 57 58 58 60 61 62 64 64 Open Directory-Identifizierung Kennworttypen Identifizierung und Berechtigung Open Directory-Kennwörter „Shadow“-Kennwörter „Crypt“-Kennwörter Bereitstellen einer sicheren Identifizierung für Windows-Benutzer Offline-Angriffe auf Kennwörter Bestimmen der zu verwendenden Option zur Identifizierung Kennwortrichtlinien Gesamtauthentifizierung Kerberos-Identifizierung Beseitigen von Schwierigkeiten bei der Kerberos-Implementierung Ablauf der Gesamtauthentifizierung Sichere Identifizierung Zusätzliche Möglichkeiten neben Kennwörtern Identifizierung auf mehreren Plattformen Zentrale Identifizierung Kerberos-orientierte Dienste Konfigurieren von Diensten für Kerberos nach einer Aktualisierung Kerberos-Prinzipale und Realms (Bereiche) Ablauf der Kerberos-Identifizierung Identifizierungsmethoden von Open Directory-Kennwortserver und „Shadow“-Kennwörtern Deaktivieren von Identifizierungsmethoden von Open Directory Deaktivieren von Identifizierungsmethoden mit „Shadow“-Kennwörtern Inhalt der Datenbank des Open Directory-Kennwortservers Identifizierte LDAP-Verzeichnisbindung 67 68 71 72 73 Programme zur Planung und Verwaltung von Open Directory Allgemeine Richtlinien für die Planung Abschätzen der Anforderungen für Verzeichnisse und Identifizierung Festlegen von Servern für gemeinsam genutzte Domains Replizieren von Open Directory-Diensten Kapitel 4 4 Inhalt 74 74 76 76 76 77 78 78 80 81 82 82 84 85 86 87 88 88 89 90 90 Kapitel 5 91 91 93 93 94 94 95 98 98 100 100 101 102 104 105 105 106 Replikgruppen Kaskadierende Replikation Planen der Aktualisierung mehrerer Open Directory-Repliken Lastenverteilung in kleinen, mittleren und großen Umgebungen Replikation in einer Umgebung mit mehreren Gebäuden Verwenden eines Open Directory-Masters, einer Open Directory-Replik oder eines Open Directory-Relais mit NAT Kompatibilität von Open Directory-Master und -Replik Integrieren von Active Directory, einem Open Directory-Master und Replikdiensten in einem gemeinsamen System Integrieren mit vorhandenen Verzeichnis-Domains Integrieren ohne Schemaänderungen Integrieren mit Schemaänderungen Vermeiden von Kerberos-Konflikten bei Vorliegen mehrerer Verzeichnisse Optimieren von Leistung und Redundanz Open Directory-Sicherheit SACLs (Service Access Control Lists) Gestufte Verwaltung Programme zum Verwalten von Open Directory-Diensten Programm „Server-Admin“ Verzeichnisdienste Arbeitsgruppenmanager Befehlszeilenprogramme Konfigurieren von Open Directory-Diensten Konfigurationsübersicht Vorbereitung Verwalten von Open Directory auf einem entfernten Server Aktivieren von Open Directory Konfigurieren eines eigenständigen Verzeichnisdiensts Konfigurieren eines Open Directory-Masters Beschreiben des Anmeldevorgangs für Benutzer Konfigurieren eines primären Domain-Controllers (PDC) Konfigurieren von Windows Vista für die Domain-Anmeldung Konfigurieren von Windows XP für die Domain-Anmeldung Konfigurieren von Windows 2000 für die Domain-Anmeldung Konfigurieren einer Open Directory-Replik Erstellen mehrerer Repliken eines Open Directory-Masters Konfigurieren von Open Directory-Relais für die kaskadierende Replikation Konfigurieren eines Servers als BDC Konfigurieren der Open Directory-Ausfallumschaltung (Failover) Inhalt 5 107 109 110 112 113 114 115 6 118 Konfigurieren einer Verbindung zu einem Verzeichnisserver Konfigurieren eines Servers als Domain-Mitglied des Mac OS X Server-PDCs Konfigurieren eines Servers als Active Directory-Domain-Mitglied Konfigurieren der Kerberos-Identifizierung mit Gesamtauthentifizierung Konfigurieren eines Open Directory-Kerberos-Realms Starten von Kerberos nach der Konfiguration eines Open Directory-Masters Delegieren der Berechtigung zum Hinzufügen eines Objekts zu einem Open Directory-Kerberos-Realm Hinzufügen eines Servers zu einem Kerberos-Realm Kapitel 6 119 120 121 122 123 123 125 126 127 127 128 130 131 132 133 133 134 135 Verwalten der Daten für die Benutzeridentifizierung Definieren eines Kennworts Ändern des Kennworts eines Benutzers Zurücksetzen der Kennwörter mehrerer Benutzer Ändern des Kennworttyps eines Benutzers Ändern des Kennworttyps in „Open Directory“ Ändern des Kennworttyps in „Crypt“-Kennwort Ändern des Kennworttyps in „Shadow“-Kennwort Aktivieren der Kerberos-Identifizierung mit Gesamtauthentifizierung für einen Benutzer Ändern der globalen Kennwortrichtlinie Festlegen von Kennwortrichtlinien für einzelne Benutzer Auswählen von Identifizierungsmethoden für Benutzer von „Shadow“-Kennwörtern Auswählen von Identifizierungsmethoden für Open Directory-Kennwörter Zuweisen von Administratorrechten für die Open Directory-Identifizierung Synchronisieren der Kennwörter des primären Administrators Aktivieren der identifizierten LDAP-Verzeichnisbindung für einen Benutzer Einstellen von Kennwörtern von exportierten oder importierten Benutzer-Accounts Umstellen von Kennwörtern von Mac OS X Server 10.1 (oder älter) Kapitel 7 137 137 137 138 139 140 140 141 141 141 142 142 Verwalten von Verzeichnis-Clients Verbinden von Clients mit Verzeichnisservern Verbindungen mit Verzeichnisservern Automatisierte Client-Konfiguration Hinzufügen einer Verbindung zu einem Active Directory-Server Hinzufügen einer Verbindung zu einem Open Directory-Server Entfernen einer Verbindung zu einem Verzeichnisserver Bearbeiten einer Verbindung zu einem Verzeichnisserver Überwachen von Verbindungen mit Verzeichnisservern Verwalten des root-Benutzer-Accounts Aktivieren des root-Benutzer-Accounts Ändern des Kennwort des root-Benutzer-Accounts Inhalt Kapitel 8 145 146 146 147 147 148 148 149 150 151 152 153 153 154 154 154 155 156 156 158 158 161 164 165 168 169 170 172 175 177 178 178 179 179 180 180 181 181 182 182 184 184 Erweiterte Einstellungen für Directory-Clients Erweiterte Einstellungen des Programms „Verzeichnisdienste“ Einrichten des Programms „Verzeichnisdienste“ per Fernzugriff auf einem Server Konfigurieren von Aktivierungen für die lokale Verzeichnis-Domain eines Computers Hinzufügen einer Aktivierung zur lokalen Verzeichnis-Domain Entfernen von Aktivierungen aus der lokalen Verzeichnis-Domain Bearbeiten einer Aktivierung in der lokalen Verzeichnis-Domain Verwenden von erweiterten Einstellungen für Suchpfade Definieren von automatischen Suchpfaden Definieren von eigenen Suchpfaden Definieren von Suchpfaden für das lokale Verzeichnis Warten, bis die Änderung eines Suchpfads wirksam wird Schützen von Computern vor unberechtigten Zugriffen über einen DHCP-Server Verwenden erweiterter Einstellungen des Programms „Verzeichnisdienste“ Aktivieren oder Deaktivieren des Active Directory-Diensts Aktivieren oder Deaktivieren von LDAP-Verzeichnisdiensten Verwenden erweiterter Einstellungen für den LDAP-Dienst Zugreifen auf LDAP-Verzeichnisse mit den Programmen „Mail“ und „Adressbuch“ Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses Ein- oder Ausblenden von Konfigurationen für LDAP-Server Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis Konfigurieren des manuellen Zugriffs auf ein LDAP-Verzeichnis Ändern einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis Duplizieren einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis Löschen einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung Konfigurieren von LDAP-Suchen und -Zuordnungen Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis Stoppen der vertrauenswürdigen Bindung zu einem LDAP-Verzeichnis Ändern des Zeitlimits für Öffnen & Schließen einer LDAP-Verbindung Ändern des Zeitlimits für Abfragen einer LDAP-Verbindung Ändern der Verzögerungszeit für erneute Versuche einer LDAP-Verbindung Ändern des Zeitlimits für eine inaktive LDAP-Verbindung Erzwingen von schreibgeschütztem LDAPv2-Zugriff Ignorieren von LDAP-Server-Verweisen Identifizieren einer LDAP-Verbindung Ändern des Kennworts für die Identifizierung einer LDAP-Verbindung Zuordnen von „Config“-Datensatzattributen für LDAP-Verzeichnisse Bearbeiten der RFC 2307-Zuordnung zum Aktivieren der Benutzererstellung Vorbereiten eines schreibgeschützten LDAP-Verzeichnisses für Mac OS X Füllen von LDAP-Verzeichnissen mit Daten für Mac OS X Inhalt 7 185 186 188 191 192 193 194 195 196 197 197 198 199 200 200 202 203 204 Kapitel 9 205 205 206 206 207 208 209 210 210 210 211 212 212 213 213 214 214 215 216 8 Verwenden erweiterter Einstellungen des Active Directory-Diensts Zugriff auf Active Directory Konfigurieren des Zugriffs auf eine Active Directory-Domain Einrichten mobiler Benutzer-Accounts in Active Directory Einrichten von Benutzerordnern für Active Directory-Benutzer-Accounts Einrichten einer UNIX Shell für Active Directory-Benutzer-Accounts Zuordnen der Benutzerkennung (UID) zu einem Active Directory-Attribut Zuordnen der Primärgruppen-ID zu einem Active Directory-Attribut Zuordnen der Gruppen-ID in Gruppen-Accounts zu einem Active Directory-Attribut Angeben eines bevorzugten Active Directory-Servers Ändern der Active Directory-Gruppen, die den Computer verwalten können Steuern der Identifizierung von allen Domains in einer Active DirectoryGesamtstruktur Lösen der Bindung zum Active Directory-Server Bearbeiten von Benutzer-Accounts und anderen Datensätzen in Active Directory Konfigurieren des LDAP-Zugriffs auf Active Directory-Domains Festlegen von NIS-Einstellungen Festlegen von Einstellungen für BSD-Konfigurationsdateien Konfigurieren von Daten in BSD-Konfigurationsdateien Pflegen von Open Directory-Diensten Zugriffssteuerung für Open Directory-Server und -Dienste Zugriffssteuerung für das Anmeldefenster eines Servers Zugriffssteuerung für den SSH-Dienst Konfigurieren der Zugriffssteuerung für Dienste Konfigurieren von Zugriffsrechten für Ressourcen Überwachen von Open Directory Überprüfen des Status eines Open Directory-Servers Überwachen von Repliken und Relais eines Open Directory-Masters Anzeigen von Open Directory-Status und -Protokollen Überwachen der Open Directory-Identifizierung Anzeigen und Bearbeiten von Verzeichnisdaten Einblenden der Verzeichnisdetailansicht Ausblenden der Detailansicht Konfigurieren der Zugriffssteuerung für die Verzeichnisdienste Löschen von Einträgen Löschen von Benutzern oder Computern mithilfe des Fensters „Detailansicht“ oder der Befehlszeile Ändern des Kurznamens eines Benutzers Importieren von Einträgen beliebigen Typs Inhalt 217 217 218 220 221 221 222 222 224 224 225 226 226 229 230 231 Kapitel 10 235 235 235 236 236 237 237 237 237 238 238 238 238 239 239 239 240 240 242 242 243 Festlegen von Optionen für einen Open Directory-Server Festlegen einer Bindungsrichtlinie für einen Open Directory-Server Festlegen einer Sicherheitsrichtlinie für einen Open Directory-Server Ändern des Speicherorts einer LDAP-Datenbank Beschränken der Suchergebnisse für den LDAP-Dienst Festlegen eines Zeitlimits für Suchvorgänge für den LDAP-Dienst Konfigurieren von SSL für den LDAP-Dienst Erstellen einer angepassten SSL-Konfiguration für LDAP Verwalten der Open Directory-Replikation Planen der Replikation eines Open Directory-Masters oder primären DomainControllers (PDC) Synchronisieren einer Open Directory-Replik oder eines BDCs bei Bedarf Umwandeln einer Open Directory-Replik in ein Relais Umwandeln einer Open Directory-Replik in einen Master Deaktivieren einer Open Directory-Replik Archivieren eines Open Directory-Masters Wiederherstellen eines Open Directory-Masters Fehlerbeseitigung Fehlerbeseitigung bei Open Directory-Master und -Repliken Kerberos ist auf einem Open Directory-Master oder einer Replik gestoppt Das Erstellen einer Open Directory-Replik ist nicht möglich Das Erstellen eines Open Directory-Masters oder einer Replik aus einer Konfigurationsdatei ist nicht möglich Eine Replik lässt sich nicht mit einem Relais verbinden Das Hinzufügen einer Open Directory-Replik zu einem Open Directory-Server, der einem Active Directory-Server untergeordnet ist, ist nicht möglich Beseitigen von Problemen mit Verzeichnisverbindungen Beim Start kommt es zu Verzögerungen Fehlerbeseitigung bei der Identifizierung Das Open Directory-Kennwort eines Benutzers lässt sich nicht ändern Ein Benutzer kann auf bestimmte Dienste nicht zugreifen Ein Benutzer kann sich nicht für den VPN-Dienst identifizieren Der Kennworttyp eines Benutzers kann nicht in „Open Directory“ geändert werden Benutzer, die einen Kennwortserver verwenden, können sich nicht anmelden Benutzer mit Accounts in einer freigegebenen Verzeichnis-Domain können sich nicht anmelden Das Anmelden als Active Directory-Benutzer ist nicht möglich Benutzer können sich nicht mit der Kerberos-Identifizierung für die Gesamtauthentifizierung identifizieren Benutzer können ihre Kennwörter nicht ändern Ein Server lässt sich einem Open Directory-Kerberos-Realm nicht hinzufügen Sie müssen ein Administratorkennwort zurücksetzen Inhalt 9 10 Anhang 245 246 247 256 277 278 282 283 284 285 286 287 289 289 290 292 293 294 294 295 300 302 303 303 304 Glossar 305 Index 313 Mac OS X-Verzeichnisdaten Open Directory-Erweiterungen des LDAP-Schemas Objektklassen im Open Directory-LDAP-Schema Attribute im Open Directory-LDAP-Schema Zuweisen von Standard-Datensatztypen und -Attributen zu LDAP und Active Directory Zuordnungen für „Users“ Zuordnungen für „Groups“ Zuordnungen für „Mounts“ Zuordnungen für „Computers“ Zuordnungen für „ComputerLists“ Zuordnungen für „Config“ Zuordnungen für „People“ Zuordnungen für „PresetComputerLists“ Zuordnungen für „PresetGroups“ Zuordnungen für „PresetUsers“ Zuordnungen für „Printers“ Zuordnungen für „AutoServerSetup“ Zuordnungen für „Locations“ Standardmäßige Open Directory-Datensatztypen und -attribute Standardattribute in Benutzerdatensätzen Standardattribute in Gruppendatensätzen Standardattribute in Computerdatensätzen Standardattribute in Computergruppen-Datensätzen Standardattribute in Mount-Datensätzen Standardattribute in Config-Datensätzen Inhalt Vorwort Über dieses Handbuch In diesem Handbuch werden die Verzeichnis- und Identifizierungsdienste beschrieben, die Sie mithilfe von Mac OS X Server konfigurieren können. Außerdem finden Sie hier Informationen zum Konfigurieren von Mac OS X Serverund Mac OS X-Client-Computern für Verzeichnisdienste. Open Directory von Mac OS X Server bietet Verzeichnis- und Identifizierungsdienste für gemischte Netzwerke mit Mac OS X-, Windows- und UNIX-Computern. Open Directory verwendet OpenLDAP, die Open-Source-Implementierung von LDAP (Lightweight Directory Access Protocol), um Verzeichnisdienste bereitzustellen. Es ist mit anderen auf Standards basierenden LDAP-Servern kompatibel und kann mit proprietären Diensten wie Active Directory von Microsoft und eDirectory von Novell integriert werden. Für das Backend der LDAP-Datenbank verwendet Open Directory die Open-SourceDatenbank „Berkeley DB“. Hierbei handelt es sich um eine äußerst skalierbare Datenbank für eine höchst leistungsfähige Indizierung von Hunderttausenden BenutzerAccounts und anderen Datensätzen. Mithilfe von Open Directory-Plug-Ins kann ein Mac OS X-Client oder Mac OS X ServerComputer Berechtigungsinformationen über Benutzer und Netzwerkressourcen auf beliebigen LDAP-Servern lesen und schreiben – sogar vom Microsoft-spezifischen Active Directory-Server. Der Server kann auch auf Datensätze in älteren Verzeichnissen wie NIS und lokalen BSD-Konfigurationsdateien (/etc) zugreifen. 11 Open Directory stellt zudem Dienste für Anmeldung und Identifizierung bereit. Open Directory kann die Kennwörter von Benutzern sicher speichern und überprüfen, die sich bei Client-Computern in Ihrem Netzwerk anmelden oder andere Netzwerk-Ressourcen verwenden möchten, für die eine Identifizierung erforderlich ist. Open Directory kann solche Richtlinien mithilfe von ablaufenden Kennwörtern und Anforderungen an die minimale Kennwortlänge umsetzen. Zudem kann Open Directory Benutzer von Windows-Computern für die Domain-Anmeldung (auch: Domänen-Anmeldung), den Dateidienst und andere von Mac OS X Server bereitgestellte Windows-Dienste (SMB-Dienste) identifizieren. Ein MIT Kerberos-KDC (Key Distribution Center) ist vollständig in Open Directory integriert und bietet eine zuverlässige Identifizierung mit Unterstützung für eine sichere Gesamtauthentifizierung (Single Sign-On). Das bedeutet, dass sich Benutzer nur einmal mit einem einzigen Benutzernamen und Kennwort anmelden müssen, um auf alle Kerberos-fähigen Netzwerkdienste zugreifen zu können. Bei Diensten, die die Kerberos-Identifizierung nicht unterstützen, ermittelt der integrierte SASL-Dienst (Secure Authentication and Service Layer) die Identifizierungsmethode mit der höchsten Sicherheit. Zudem wird die Verfügbarkeit und Skalierbarkeit durch die Verzeichnis- und Identifizierungsreplikation maximiert. Durch das Erstellen von Repliken von Open DirectoryServern können Sie ganz einfach Server für die Ausfallumschaltung und entfernte Server für eine schnelle Client-Interaktion in verteilten Netzwerken nutzen. Neue Merkmale und Funktionen in Version 10.5 Mac OS X Server Version 10.5 bietet die folgenden grundlegenden Verbesserungen bei Open Directory: Â Vereinfachte Konfiguration des LDAPv3-Zugriffs: Das Programm „Verzeichnisdienste“ unterstützt Sie bei der Konfiguration einer Verbindung zu einem LDAPVerzeichnis. Â Verbesserte Oberfläche des Programms „Server-Admin“: Server-Admin verfügt nun über eine benutzerfreundlichere Oberfläche. Â Verbesserte Identifizierung: Sie können einen Mac OS X-Open Directory-Server mit einem Active Directory-Server verbinden und eine Domain-übergreifende Identifizierung nutzen. Â Verbesserter LDAP-Server: Mac OS X Server 10.5 verwendet OpenLDAP Version 2.3.x und Berkeley DB Version 4.2.52. 12 Vorwort Über dieses Handbuch Â Verbesserte lokale Domain: Mac OS X verwendet eine lokale Verzeichnis-Domain für die lokale Computeridentifizierung. Â Verbesserte Replikation: Sie können eine zweistufige Replikation eines einzelnen Masters nutzen (auch als „kaskadierende Replikation“ bezeichnet). Hierdurch stehen Ihnen bis zu 1056 Repliken eines einzelnen Open Directory-Masters und effizientere Replikgruppen oder eine effizientere Replikauswahl für Kennwortserver, LDAP und Kerberos zur Verfügung. Â Verbesserte Verwaltung: Durch die Verwendung einer gestuften Verwaltung profitieren Sie bei der Verwaltung von Verzeichnis-Domains von einer höheren Skalierbarkeit. Â Verbesserte Unterstützung für Programme: Sie können Open Directory mit Programmen wie Apple Wiki verwenden. Überblick Dieses Handbuch ist wie folgt untergliedert: Â Kapitel 1 „Verzeichnisdienste mit Open Directory“ erklärt, was Verzeichnis-Domains sind und wie sie verwendet und strukturiert werden. Â Kapitel 2 „Open Directory-Suchpfade“ beschreibt Suchpfade mit einer oder mehreren Verzeichnis-Domains sowie automatische, angepasste und rein lokale Suchpfade. Â Kapitel 3 „Open Directory-Identifizierung“ beschreibt die Open Directory-Identifizierung, „Shadow“- und „Crypt“-Kennwörter, Kerberos, die LDAP-Bindung und die Gesamtauthentifizierung. Â Kapitel 4 „Programme zur Planung und Verwaltung von Open Directory“ hilft Ihnen, Ihre Anforderungen an Verzeichnis-Domains zu ermitteln, Anforderungen an Verzeichnisse und Identifizierung abzuschätzen, Server als Hosts für gemeinsam genutzte Domains festzulegen, Leistung und Redundanz zu verbessern, mit dem Thema Replikation in einer Umgebung mit mehreren Gebäuden umzugehen und Ihre Open Directory-Dienste sicher zu machen. Dieses Kapitel stellt auch die Werkzeuge vor, die Sie zur Verwaltung von Open Directory-Diensten verwenden. Â Kapitel 5 „Konfigurieren von Open Directory-Diensten“ enthält Informationen zum Konfigurieren eines Open Directory-Servers sowie zu den verfügbaren Konfigurationen und Funktionen. In diesem Kapitel wird auch erklärt, wie Sie Optionen des LDAPDiensts eines Open Directory-Masters oder einer Open Directory-Replik festlegen und die Kerberos-Gesamtauthentifizierung auf einem Open Directory-Master einrichten. Â Kapitel 6 „Verwalten der Daten für die Benutzeridentifizierung“ beschreibt, wie Sie Kennwortrichtlinien festlegen, den Kennworttyp eines Benutzers ändern, Administratorrechte für die Open Directory-Identifizierung zuweisen, Kennwörter importierter Benutzer-Accounts zurücksetzen und Kennwörter auf die Open Directory-Identifizierung umstellen. Vorwort Über dieses Handbuch 13 Â Kapitel 7 „Verwalten von Verzeichnis-Clients“ erläutert die Verwendung des Programms „Verzeichnisdienste“ zum Konfigurieren und Verwalten des Zugriffs von Mac OS X-Computern auf Verzeichnisdienste. Â Kapitel 8 „Erweiterte Einstellungen für Directory-Clients“ umfasst Anleitungen zur Verwendung des Programms „Verzeichnisdienste“ zum Aktivieren, Deaktivieren und Konfigurieren von Diensterkennungsprotokollen. In diesem Kapitel wird auch die Konfiguration von Suchpfaden für Identifizierung und Kontakte erklärt sowie die Konfiguration des Zugriffs auf Verzeichnis-Domains, u. a. LDAP-, Active Directory-, NIS- und BSD-Konfigurationsdateien. Â Kapitel 9 „Pflegen von Open Directory-Diensten“ enthält Informationen zum Überwachen von Open Directory-Diensten, Anzeigen und Bearbeiten von Verzeichnisdaten mit dem Fenster „Detailansicht“, Archivieren eines Open Directory-Masters und Ausführen anderer Wartungsaufgaben für Verzeichnisse. Â Kapitel 10 „Fehlerbeseitigung“ beschreibt gelegentlich auftretende Probleme und bietet Lösungsvorschläge, sollten bei der Arbeit mit Open Directory Probleme auftreten. Im Anhang „Mac OS X-Verzeichnisdaten“ werden die Open Directory-Erweiterungen des LDAP-Schemas aufgelistet und die standardmäßigen Datensatztypen und -attribute von Mac OS X genannt. Im letzten Kapitel, dem Glossar, werden Begriffe definiert, die Sie in diesem Handbuch finden. Hinweis: Da Apple regelmäßig neue Versionen und Aktualisierungen von Software veröffentlicht, unterscheiden sich die Abbildungen in diesem Handbuch möglicherweise von Ihrer Bildschirmanzeige. Verwenden dieses Handbuchs Die Kapitel im vorliegenden Handbuch sind in der Reihenfolge angeordnet, in der Sie sie wahrscheinlich benötigen werden, wenn Sie Open Directory auf Ihrem Server konfigurieren und verwalten: Â Lesen Sie Kapitel 1 bis Kapitel 3, um sich mit den Open Directory-Konzepten vertraut zu machen: Verzeichnisdienste, Suchpfade und Identifizierung. Â Lesen Sie Kapitel 4, wenn Sie Verzeichnisdienste und die Identifizierung und Anmeldung per Kennwort für Ihr Netzwerk planen möchten. Â Lesen Sie nach Abschluss der Planung die Anleitungen in Kapitel 5, um Open DirectoryDienste einzurichten. Â Wenn Sie Kennwortrichtlinien definieren oder Kennworteinstellungen für einen Benutzer-Account ändern müssen, lesen Sie die Anleitungen in Kapitel 6. 14 Vorwort Über dieses Handbuch Â Wenn Sie den Zugriff eines Mac OS X- oder Mac OS X Server-Computers auf Verzeichnis-Domains einrichten oder anpassen, befolgen Sie die Anleitungen in Kapitel 7. Â Zum Konfigurieren erweiterter Einstellungen für Benutzer mithilfe des Programms „Verzeichnisdienste“ lesen Sie Kapitel 8. Â Ziehen Sie für die laufende Wartung von Verzeichnis- und Identifizierungsdiensten die Informationen in Kapitel 9 zu Rate. Â Sollten bei der Verwendung von Open Directory Probleme auftreten, lesen Sie Kapitel 10, um Näheres über mögliche Lösungen zu erfahren. Verwenden der Online-Hilfe Sie können aufgabenbezogene Anleitungen im Programm „Help Viewer“ anzeigen, während Sie Leopard Server verwalten. Die Online-Hilfe können Sie auf dem Servercomputer oder auf einem Administratorcomputer anzeigen. (Ein Administratorcomputer ist ein Mac OS X-Computer mit installierter Leopard Server-Verwaltungssoftware.) Gehen Sie wie folgt vor, um bei einer erweiterten Konfiguration von Leopard Server die Online-Hilfe anzuzeigen: m Öffnen Sie das Programm „Server-Admin“ oder den Arbeitsgruppenmanager und führen Sie danach einen der folgenden Schritte aus: Â Öffnen Sie das Menü „Hilfe“ und suchen Sie nach Informationen über die Aufgabe, die Sie durchführen wollen. Â Wählen Sie „Hilfe“ > „Server-Admin-Hilfe“ bzw. „Hilfe“ > „ArbeitsgruppenmanagerHilfe“, um in der Hilfe zu blättern oder nach bestimmten Hilfethemen zu suchen. Die Online-Hilfe umfasst Anleitungen aus dem Handbuch Serveradministration und anderen Handbüchern für die erweiterte Verwaltung, die im Abschnitt „Dokumentation zu Mac OS X Server“ auf Seite 16 genannt werden. Gehen Sie wie folgt vor, um die neusten Hilfethemen für den Server anzuzeigen: m Vergewissern Sie sich, dass der Server- bzw. der Administratorcomputer mit dem Internet verbunden ist, solange Sie auf die Online-Hilfe zugreifen. Das Programm „Help Viewer“ lädt daraufhin automatisch die neusten Hilfethemen zum Server aus dem Internet und speichert sie im Cache. Wenn keine Verbindung zum Internet besteht, zeigt das Programm „Help Viewer“ die im Cache gespeicherten Hilfethemen an. Vorwort Über dieses Handbuch 15 Dokumentation zu Mac OS X Server Im Handbuch Einführung wird das Installieren und Einrichten einer Standard- oder Arbeitsgruppenkonfiguration von Mac OS X Server beschrieben. Zu erweiterten Konfigurationen enthält das Handbuch Serveradministration Anleitungen für die vorbereitende Planung, die Installation, die Konfiguration und die generelle Serververwaltung. Eine Reihe ergänzender Handbücher beschäftigt sich mit Aspekten der Planung, Konfiguration und Verwaltung bestimmter Dienste. Die PDF-Versionen aller Handbücher stehen auf der folgenden Website für Mac OS X Server zum Laden bereit: www.apple.com/de/server/documentation Dieses Handbuch ... behandelt folgende Themen: Einführung und Arbeitsblatt für Installation & Konfiguration Installation von Mac OS X Server und erstmalige Konfiguration. Command-Line Administration Installieren, Einrichten und Verwalten von Mac OS X Server mittels UNIX-Befehlszeilen und UNIX-Konfigurationsdateien. Dateidienste – Administration Gemeinsame Nutzung von Serverlaufwerken (Volumes) und Serverordnern durch Clients auf Basis der Protokolle AFP, NFS, FTP und SMB. iCal-Dienste – Administration Einrichten und Verwalten des Diensts „iCal“ für die gemeinsame Kalendernutzung. iChat-Dienste – Administration Einrichten und Verwalten des Diensts „iChat“ für die InstantMessaging-Kommunikation. Mac OS X-Sicherheitskonfiguration Erhöhen der Sicherheit für Mac OS X-Computer (Clients) [beispielsweise für Behörden und Unternehmenskunden]. Mac OS X Server-Sicherheitskonfiguration Erhöhen der Sicherheit von Mac OS X Server und des Servercomputers [beispielsweise für Behörden und Unternehmenskunden] Mail-Dienste – Administration Konfigurieren und Verwalten von IMAP-, POP- und SMTP-MailDiensten auf dem Server. Netzwerkdienste – Administration Einrichten, Konfigurieren und Verwalten der Dienste „DHCP“, „DNS“, „VPN“, „NTP“, „IP-Firewall“, „NAT“ und „RADIUS“ auf dem Servercomputer. 16 Open Directory – Administration Einrichten und Verwalten der Verzeichnis- und Identifizierungsdienste und Konfigurieren der Clients im Hinblick auf die Dienste eines Verzeichnisservers. Podcast-Produzent – Administration Einrichten und Verwalten des Diensts „Podcast-Produzent“ für die Aufnahme, Verarbeitung und Verteilung von Podcasts. Druckdienste – Administration Bereitstellen gemeinsam genutzter Drucker und Verwalten deren zugeordneter Wartelisten und Druckaufträge. QuickTime Streaming und Broadcasting – Administration Erfassen und Codieren von QuickTime-Inhalten. Konfigurieren und Verwalten des QuickTime-Streaming-Diensts zum Bereitstellen von Medien-Streams (live oder auf Anforderung). Serveradministration Ausführen einer erweiterten Installation und Konfiguration von Serversoftware und Verwalten von Optionen, die für mehrere Dienste oder den Server als Ganzes gelten. Vorwort Über dieses Handbuch Dieses Handbuch ... behandelt folgende Themen: System-Imaging- und Softwareaktualisierung – Administration Automatisiertes Verwalten des Betriebssystems und anderer von Client-Computern genutzter Software mittels NetBoot, NetInstall und Softwareaktualisierung. Aktualisieren und Migrieren Übernahme der Einstellungen für Daten und Dienste aus einer früheren Version von Mac OS X Server oder Windows NT Benutzerverwaltung Erstellen und Verwalten von Benutzer-Accounts, Gruppen und Computern. Konfigurieren verwalteter Einstellungen für Mac OS X-Clients. Webtechnologie – Administration Einrichten und Verwalten von Webtechnologien (u. a. Web, Blog, Webmail, Wiki, MySQL, PHP, Ruby on Rails und WebDAV). Xgrid – Administration und Hochleistungs-Computing Einrichten und Verwalten von Computer-Clustern aus XserveSystemen und Macintosh-Computern. Mac OS X Server – Glossar Informationen zu Fachbegriffen, die im Zusammenhang mit Serverund Massenspeicherprodukten häufig verwendet werden. Anzeigen von PDF-Handbüchern auf dem Bildschirm Wenn Sie die PDF-Version eines der o. g. Dokumente auf Ihrem Bildschirm anzeigen, haben Sie folgende Möglichkeiten: Â Sie können die Lesezeichen einblenden, um den Aufbau und die Struktur des Dokuments zu sehen. Durch Klicken auf ein Lesezeichen können Sie direkt zum entsprechenden Abschnitt oder Kapitel blättern. Â Sie können ein Wort oder eine Wortgruppe eingeben, um alle Textstellen mit diesem Wort bzw. dieser Wortgruppe anzuzeigen. Durch Klicken auf einen Fundstelleneintrag können Sie direkt zu der jeweiligen Seite blättern. Â Sie können auf einen Querverweis klicken, um zu dem Abschnitt zu wechseln, auf den der Verweis Bezug nimmt. Sie können auf einen Weblink klicken, um die betreffende Website in Ihrem Browser zu öffnen. Vorwort Über dieses Handbuch 17 Drucken der PDF-Handbücher Wenn Sie ein Handbuch drucken, können Sie mit den folgenden Maßnahmen den Papier- und Toner- bzw. Tintenverbrauch reduzieren: Â Verzichten Sie darauf, die Titelseite zu drucken, um Toner bzw. Tinte einzusparen. Â Aktivieren Sie im Dialogfenster „Drucken“ die Option für die Ausgabe in Graustufen oder in Schwarzweiß, um für die Ausgabe auf einem Farbdrucker nur schwarze(n) Tinte/Toner zu verwenden. Â Reduzieren Sie den Papierverbrauch, indem Sie auf jedem Blatt/Bogen mehrere Dokumentseiten drucken. Ändern Sie im Druckfenster die Größe auf 115 % (155 % für die Einführung). Wählen Sie dann „Layout“ aus dem dritten Einblendmenü aus. Wählen Sie eine der nachfolgend angebotenen Einstellungen für die Option „Beidseitig“, wenn der Drucker die Duplexausgabe unterstützt. Andernfalls wählen Sie „2“ aus dem Einblendmenü „Seiten pro Blatt“ aus und wählen Sie optional „Haarlinie“ aus dem Einblendmenü „Rahmen“ aus. (Bei Verwendung von Mac OS X 10.4 oder neuer befindet sich die Einstellung „Größe“ im Dialogfenster „Papierformat“ und die Layouteinstellungen im Druckfenster.) Da das PDF-Seitenformat kleiner ist als standardmäßiges Druckerpapier, empfiehlt es sich u. U., die gedruckten Seiten auch dann zu vergrößern, wenn Sie nicht doppelseitig drucken. Ändern Sie im Druckfenster oder im Dialogfenster „Papierformat“ die Größe auf „115 %“ (155 % für das Dokument Einführung, das im CD-Format vorliegt). Laden von Aktualisierungen für die Dokumentation Apple stellt in regelmäßigen Abständen überarbeitete Hilfethemen und Neuauflagen der Handbücher bereit. Dabei können neue Hilfethemen auch Aktualisierungen für die letzte Auflage eines Handbuchs enthalten. Â Vergewissern Sie sich, wenn Sie neue Online-Hilfethemen ansehen wollen, dass Ihr Server- oder Administratorcomputer mit dem Internet verbunden ist. Klicken Sie danach auf der Hauptseite der Online-Hilfe des verwendeten Programms auf „Immer auf dem neusten Stand“, um die neusten Hilfethemen zu laden. Â Besuchen Sie die folgende, für die Dokumentation von Mac OS X Server eingerichtete Website, wenn Sie die neusten Auflagen der Handbücher im PDF-Format laden möchten: www.apple.com/de/server/documentation 18 Vorwort Über dieses Handbuch Weitere Informationsmöglichkeiten Für weitere Informationen stehen Ihnen die folgenden Ressourcen zur Verfügung: Â „Bitte lesen“-Dokumente – wichtige Aktualisierungen und spezielle Informationen. Suchen Sie nach diesen Dokumenten auf den Server-CDs. Â Mac OS X Server-Website (www.apple.com/de/server/macosx) – Zugang zu umfassenden Produkt- und Technologieinformationen. Â Mac OS X Server-Support-Website (www.apple.com/de/support/macosxserver) – Zugriff auf Hunderte von Artikeln aus dem Apple Support-Bereich. Â Apple Service & Support-Website (www.apple.com/de/support) – Zugriff auf Hunderte von Artikeln aus dem Apple Support-Bereich. Â Apple Training-Website (www.apple.com/de/training) – von Trainern geführte und in freier Zeiteinteilung durchzuarbeitende Trainingseinheiten zur Förderung Ihrer Kenntnisse und Fähigkeiten bei der Serververwaltung. Â Apple-Website mit Diskussionsforen (discussions.apple.com) – eine praktische Möglichkeit, Fragen, Kenntnisse und Ratschläge mit anderen Administratoren auszutauschen. Â Apple-Website mit Mailing-Listen (www.lists.apple.com) – abonnieren Sie MailingListen, damit Sie mit anderen Administratoren via E-Mail kommunizieren können. Â OpenLDAP-Website (www.openldap.org) – informieren Sie sich über die Open-SourceSoftware, mit deren Hilfe Open Directory LDAP-Verzeichnisdienste bereitstellt. Â MIT Kerberos-Website (web.mit.edu/kerberos/www) – lesen Sie Hintergrundinformationen und technische Daten zu dem Protokoll, mit dem Open Directory eine sichere Gesamtauthentifizierung ermöglicht. Â Berkeley DB-Website (www.sleepycat.com) – lesen Sie Funktionsbeschreibungen und technische Dokumentation zu der Open-Source-Datenbank, die Open Directory für die Speicherung von LDAP-Verzeichnisdaten verwendet. Â RFC3377 „Lightweight Directory Access Protocol (v3): Technical Specification“ (www.rfc-editor.org/rfc/rfc3377.txt) – führt eine Reihe mit acht weiteren RFC-Dokumenten (Request for Comment) mit zusammenfassenden Informationen und ausführlichen technischen Daten für das LDAPv3-Protokoll auf. Vorwort Über dieses Handbuch 19 1 Verzeichnisdienste mit Open Directory 1 Die Funktion von Verzeichnisdiensten besteht in der zentralen Bereitstellung von Informationen über Computerbenutzer und Netzwerkressourcen in einer Organisation. Vorteile der Verwendung von Verzeichnisdiensten Das Speichern von Verwaltungsdaten in einem zentralen Verzeichnis hat viele Vorteile: Â Senkung des Aufwands für die Dateneingabe Â Sicherstellung, dass Netzwerkdienste und -Clients über konsistente Informationen über Benutzer und Ressourcen verfügen Â Vereinfachung der Verwaltung von Benutzern und Ressourcen Â Bereitstellung von Identifizierungs-, Authentifizierungs- und Autorisierungsinformationen für andere Netzwerkdienste In Bildungs- und Unternehmensumgebungen sind Verzeichnisdienste eine ideale Methode zum Verwalten von Benutzern und Computerressourcen. Selbst Organisationen mit nur 10 Mitarbeitern können vom Einsatz eines Verzeichnisdiensts profitieren. Verzeichnisdienste sind doppelt nützlich: Sie vereinfachen die System- und Netzwerkverwaltung und erleichtern den Benutzern die Arbeit im Netzwerk. Mit Verzeichnisdiensten sind Administratoren in der Lage, Informationen über alle Benutzer, wie z. B. zugehörige Namen, Kennwörter und Speicherorte von NetzwerkBenutzerordnern, zentral zu verwalten statt auf jedem einzelnen Computer. Verzeichnisdienste können auch zentralisierte Informationen über Drucker, Computer und andere Netzwerkressourcen verwalten. Durch das Zentralisieren der Informationen über Benutzer und Ressourcen lässt sich der Verwaltungsaufwand für Systemadministratoren senken. Außerdem verfügt jeder Benutzer über einen zentralisierten Benutzer-Account, um sich an jedem autorisierten Computer im Netzwerk anzumelden. 21 Mit einem zentralisierten Verzeichnisdienst und einem für Netzwerk-Benutzerordner konfigurierten Dateidienst stehen einem Benutzer unabhängig davon, wo er sich anmeldet, stets derselbe Benutzerordner, derselbe personalisierte Schreibtisch und dieselben individuellen Einstellungen zur Verfügung. Der Benutzer hat immer Zugriff auf persönliche Dateien im Netzwerk und kann autorisierte Netzwerkressourcen leicht finden und verwenden. Verzeichnisdienste und Verzeichnis-Domains Ein Verzeichnisdienst funktioniert wie ein Mittler zwischen Programm- bzw. Systemsoftwareprozessen, die Informationen zu Benutzern und Ressourcen benötigen, und den Verzeichnis-Domains (auch: Verzeichnis-Domänen), die diese Informationen enthalten. Wie die folgende Abbildung zeigt, stellt Open Directory Verzeichnisdienste für Mac OS X und Mac OS X Server bereit. Benutzer Gruppen Drucker Computer Aktivierte Volumes VerzeichnisDomains Open Directory Programm- und Systemsoftwareprozesse Open Directory kann auf Informationen in mindestens einer Verzeichnis-Domain zugreifen. In Verzeichnis-Domains sind Informationen in einer speziellen Datenbank gespeichert, die für die Verarbeitung vieler Anfragen und für das schnelle Auffinden und Abrufen von Informationen optimiert wurde. Auf Mac OS X-Computern ausgeführte Prozesse können Open Directory-Dienste verwenden, um Informationen in Verzeichnis-Domains zu speichern. Wenn Sie zum Beispiel mit dem Arbeitsgruppenmanager einen Benutzer-Account erstellen, speichert Open Directory den Benutzernamen und andere Account-Informationen in einer Verzeichnis-Domain. Informationen zu Benutzer-Accounts können Sie anschließend im Arbeitsgruppenmanager prüfen, der Open Directory verwendet, um diese Informationen aus einer Verzeichnis-Domain abzurufen. 22 Kapitel 1 Verzeichnisdienste mit Open Directory Andere Programm- und Systemsoftwareprozesse können die in Verzeichnis-Domains gespeicherten Benutzer-Account-Informationen ebenfalls verwenden. Wenn ein Benutzer versucht, sich an einem Mac OS X-Computer anzumelden, verwendet der Anmeldeprozess Open Directory-Dienste, um Benutzernamen und Kennwort zu prüfen: Ver zeichnisDomain Arbeitsgruppenmanager Open Directory Geschichtlicher Hintergrund Wie Mac OS X geht auch Open Directory auf UNIX zurück. Open Directory bietet Zugriff auf Verwaltungsdaten, die bei UNIX-Systemen gewöhnlich in Konfigurationsdateien gespeichert sind, die einen hohen Verwaltungsaufwand verursachen. (Manche UNIXSysteme benutzen immer noch Konfigurationsdateien.) Open Directory übernimmt die Konsolidierung und Verteilung der Daten, was einen einfacheren Zugriff und eine einfachere Verwaltung ermöglicht. Datenkonsolidierung Seit Langem werden Verwaltungsinformationen bei UNIX-Systemen in einer Sammlung von Dateien im Ordner „/etc“ gespeichert, wie in der folgenden Abbildung dargestellt. /etc/hosts /etc/group UNIX-Prozesse /etc/master.passwd Kapitel 1 Verzeichnisdienste mit Open Directory 23 Dieses Schema erforderte, dass jeder UNIX-Computer über seinen eigenen Satz Dateien verfügte, und Prozesse, die auf einem UNIX-Computer ausgeführt wurden, dessen Dateien lasen, wenn sie Verwaltungsinformationen benötigten. Wenn Sie über UNIX-Erfahrung verfügen, kennen Sie wahrscheinlich die Dateien im Verzeichnis „/etc“ – „group“, „hosts“, „hosts.eqiv“, „master.passwd“ etc. Ein UNIX-Prozess beispielsweise, der das Kennwort eines Benutzers prüfen muss, nutzt die Datei „/etc/ master.passwd“. Die Datei „/etc/master.passwd“ enthält einen Eintrag für jeden Benutzer-Account. Ein UNIX-Prozess, der Gruppeninformationen benötigt, zieht die Datei „/etc/group“ zu Rate. Open Directory konsolidiert Verwaltungsinformationen und vereinfacht so das Zusammenspiel zwischen Prozessen und den von ihnen erstellten und verwendeten Verwaltungsdaten: Open Directory Mac OS X-Prozesse Prozesse müssen nicht länger wissen, wie und wo administrative Daten gespeichert sind. Open Directory ruft die Daten für sie ab. Wenn ein Prozess den Speicherort des Benutzerordners für einen Benutzer benötigt, ruft er die entsprechenden Informationen über Open Directory ab. Open Directory sucht die angefragten Informationen und meldet sie zurück. Detaillierte Angaben dazu, wie die Informationen gespeichert sind, werden dabei weggefiltert, wie die folgende Abbildung veranschaulicht. VerzeichnisDomain VerzeichnisDomain Open Directory Mac OS X-Prozesse 24 Kapitel 1 Verzeichnisdienste mit Open Directory Wenn Sie Open Directory für den Zugriff auf Verwaltungsdaten mehrerer VerzeichnisDomains konfigurieren, nutzt Open Directory die Domains wie erforderlich. Einige in einer Verzeichnis-Domain gespeicherte Daten entsprechen den in UNIX-Konfigurationsdateien gespeicherten Daten. Beispielsweise werden der Speicherort des Benutzerordners, der vollständige Name, die Benutzer-ID und die Gruppen-ID in den Benutzereinträgen einer Verzeichnis-Domain gespeichert statt in der Standarddatei „/etc/passwd“. Eine Verzeichnis-Domain speichert jedoch wesentlich mehr Daten, um Funktionen zu unterstützen, die es nur in Mac OS X gibt, wie z. B. Unterstützung für die Verwaltung von Mac OS X-Client-Computern. Datenverteilung Charakteristisch für UNIX-Konfigurationsdateien ist, dass die enthaltenen Verwaltungsdaten nur für die Computer verfügbar sind, auf denen sie gespeichert wurden. Jeder Computer hat seine eigenen UNIX-Konfigurationsdateien. Bei UNIX-Konfigurationsdateien müssen auf jedem Computer, den ein Benutzer verwenden will, die Benutzer-Account-Einstellungen dieses Benutzers gespeichert sein, und auf jedem Computer müssen die Account-Einstellungen für jeden Benutzer gespeichert sein, der auf den Computer zugreifen können soll. Wenn der Administrator die Netzwerkeinstellungen eines Computers festlegen will, muss er zu dem entsprechenden Computer gehen und die IP-Adresse und weitere Informationen eingeben, die den Computer im Netzwerk identifizieren. Sind Benutzer- oder Netzwerkinformationen in UNIX-Konfigurationsdateien zu ändern, muss der Administrator die Änderungen wiederum auf dem Computer vornehmen, auf dem sich die Dateien befinden. Manche Änderungen, wie beispielsweise Netzwerkeinstellungen, erfordern, dass der Administrator die gleichen Änderungen an mehreren Computern vornimmt. Dieser Ansatz wird schnell unüberschaubar, wenn Netzwerke an Größe und Komplexität zunehmen. Kapitel 1 Verzeichnisdienste mit Open Directory 25 Open Directory löst dieses Problem, indem administrative Daten in einer VerzeichnisDomain gespeichert werden, die ein Netzwerkadministrator von einem Standort aus verwalten kann. Mit Open Directory können Sie die Informationen verteilen und für die Computer, die sie benötigen, und den Administrator, der sie verwaltet, in einem Netzwerk anzeigen lassen. Dies wird in der folgenden Abbildung veranschaulicht. VerzeichnisDomain Systemadministrator Open Directory Benutzer Anwendungsmöglichkeiten für Verzeichnisdaten Mit Open Directory können Netzwerkinformationen leicht in einer Verzeichnis-Domain zusammengeführt und verwaltet werden. Dies ist jedoch nur dann von Nutzen, wenn auf Netzwerkcomputern aktive Programm- und Systemsoftwareprozesse auf die Informationen zugreifen. Mac OS X-System- und -Programmsoftware kann Verzeichnisdaten auf verschiedene Weise nutzen: Â Anmeldung: Der Arbeitsgruppenmanager kann Benutzereinträge in einer VerzeichnisDomain erstellen. Mit diesen Einträgen können Benutzer identifiziert werden, die sich an Mac OS X- und Windows-Computern anmelden. Wenn ein Benutzer einen Namen und ein Kennwort im Mac OS X-Anmeldefenster angibt, fordert der Anmeldeprozess Open Directory auf, den Namen und das Kennwort zu prüfen. Open Directory verwendet den Namen, um den Account-Eintrag des Benutzers in einer Verzeichnis-Domain zu suchen, und weitere Daten im Benutzereintrag, um das Kennwort zu prüfen. 26 Kapitel 1 Verzeichnisdienste mit Open Directory Â Ordner- und Dateizugriff: Nach der Anmeldung kann ein Benutzer auf Dateien und Ordner zugreifen. Mac OS X verwendet andere Daten aus dem Benutzereintrag, um die Zugriffsrechte des Benutzers für jede Datei oder jeden Ordner zu bestimmen. Â Benutzerordner: In jedem Benutzereintrag in einer Verzeichnis-Domain wird der Speicherort für den Benutzerordner des Benutzers gespeichert. In diesem Ordner werden die privaten Dateien, Ordner und Einstellungen des Benutzers abgelegt. Der Benutzerordner eines Benutzers kann sich auf dem Computer befinden, den der Benutzer immer verwendet, oder er kann sich auf einem Dateiserver im Netzwerk befinden. Â Netzwerkordner mit „Autoaktivierung“: Netzwerkordner können so konfiguriert werden, dass sie automatisch aktiviert werden. Sie werden dann automatisch im Ordner „Alle“ (dem Netzwerkglobus) in den Finder-Fenstern von Client-Computern angezeigt. Informationen über diese Netzwerkordner mit „Autoaktivierung“ werden in einer Verzeichnis-Domain gespeichert. Netzwerkordner sind Ordner, Festplatten oder Festplattenpartitionen, die Sie für den Zugriff über das Netzwerk freigegeben haben. Â E-Mail-Account-Einstellungen: Der Eintrag jedes Benutzers in einer VerzeichnisDomain gibt an, ob der Benutzer über den Mail-Dienst verfügt, welche Protokolle verwendet werden sollen, wie eingehende E-Mails dargestellt werden, ob der Benutzer auf den Eingang neuer E-Mails hingewiesen wird usw. Â Ressourcennutzung: Festplatten-, Druck- und E-Mail-Zuteilungen können in jedem Benutzereintrag einer Verzeichnis-Domain gespeichert werden. Â Verwaltete Client-Informationen: Der Administrator kann die Mac OS X-Umgebung von Benutzern verwalten, deren Account-Datensätze in einer VerzeichnisDomain gespeichert sind. Der Administrator nimmt verbindliche Einstellungen vor, die in der Verzeichnis-Domain gespeichert werden und die persönlichen Einstellungen der Benutzer überschreiben. Â Gruppenverwaltung: Neben Benutzereinträgen werden in einer Verzeichnis-Domain auch Gruppeneinträge gespeichert. Jeder Gruppeneintrag betrifft alle Benutzer, die dieser Gruppe angehören. Daten in Gruppeneinträgen geben die Einstellungen für Gruppenmitglieder an. Gruppeneinträge regeln auch den Zugriff auf Dateien, Ordner und Computer. Â Verwaltete Netzwerkansichten: Der Administrator kann benutzerdefinierte Ansichten konfigurieren, die die Benutzer sehen, wenn sie das Netzwerksymbol in der Seitenleiste eines Finder-Fensters auswählen. Da diese verwalteten Netzwerkansichten in einer Verzeichnis-Domain gesichert werden, sind sie automatisch verfügbar, wenn sich ein Benutzer anmeldet. Kapitel 1 Verzeichnisdienste mit Open Directory 27 Zugriff auf Verzeichnisdienste Open Directory kann für die folgenden Arten von Verzeichnisdiensten auf VerzeichnisDomains zugreifen: Â LDAP (Lightweight Directory Access Protocol), ein offener Standard, der häufig in gemischten Umgebungen mit Macintosh-, UNIX- und Windows-Systemen verwendet wird. LDAP ist der native Verzeichnisdienst für freigegebene Verzeichnisse in Mac OS X Server. Â Lokale Verzeichnis-Domain, der lokale Verzeichnisdienst für alle Mac OS X- und Mac OS X Server-Versionen ab Version 10.5. Â Active Directory, der Verzeichnisdienst von Microsoft-Servern mit Windows 2000 und 2003. Â NIS (Network Information System), der Verzeichnisdienst vieler UNIX-Server. Â BSD-Flat-Dateien, der überkommene Verzeichnisdienst von UNIX-Systemen. Hintergrundinformationen zu einer Verzeichnis-Domain Informationen in einer Verzeichnis-Domain werden nach Eintragstyp (auch: Datensatztyp) strukturiert. Bei Eintragstypen handelt es sich um spezielle Kategorien von Informationen wie Benutzer, Gruppen und Computer. Eine Verzeichnis-Domain kann für jeden Eintragstyp eine beliebige Anzahl von Einträgen enthalten. Jeder Eintrag stellt eine Sammlung von Attributen dar, und jedes Attribut hat einen oder mehrere Werte. Wenn Sie sich einen Eintragstyp als Tabelle vorstellen, die eine Kategorie von Informationen enthält, dann sind die Einträge die Zeilen und die Attribute die Spalten der Tabelle, und jede Tabellenzelle enthält einen oder mehrere Werte. Wenn Sie zum Beispiel mit dem Arbeitsgruppenmanager einen Benutzer-Account definieren, erstellen Sie einen Benutzereintrag (einen Eintrag (oder Datensatz) vom Typ „Benutzer“). Die Einstellungen, die Sie für den Benutzer-Account konfigurieren (Kurzname, vollständiger Name, Speicherort des Benutzerordners usw.), werden zu Attributwerten im Benutzereintrag. Der Benutzereintrag und die Werte der darin enthaltenen Attribute befinden sich in einer Verzeichnis-Domain. Bei manchen Verzeichnisdiensten wie LDAP und Active Directory werden Eintragstypen nach Objektklasse verwaltet. Objektklassen definieren wie Eintragstypen Kategorien von Informationen. Eine Objektklasse definiert ähnliche Informationen, die als Eingaben bezeichnet werden, durch Angabe von Attributen, die eine Eingabe enthalten muss oder kann. Für eine Objektklasse kann eine Verzeichnis-Domain mehrere Eingaben enthalten, die ihrerseits jeweils mehrere Attribute enthalten können. Manche Attribute haben einen einzelnen Wert, andere haben mehrere Werte. Zum Beispiel definiert die Objektklasse „inetOrgPerson“ Eingaben, die Benutzerattribute enthalten. 28 Kapitel 1 Verzeichnisdienste mit Open Directory Die Klasse „inetOrgPerson“ ist eine LDAP-Standardklasse, definiert in RFC 2798. Weitere LDAP-Standardklassen und -attribute sind in RFC 2307 definiert. Die Standardklassen und -attribute von Open Directory basieren auf diesen RFCs. Die Sammlung von Attributen und Eintragstypen oder Objektklassen ist eine Blaupause für die Informationen in einer Verzeichnis-Domain. Diese Blaupause wird als Schema der Verzeichnis-Domain bezeichnet. Open Directory verwendet jedoch ein verzeichnisbasiertes Schema, das sich von einem lokal gespeicherten Schema unterscheidet. Wenn Sie eine lokale Konfigurationsdatei für ein Schema verwenden und dazu einen Open Directory-Master nutzen wollen, der Replikserver bereitstellt, besteht die Herausforderung darin, dass Sie die entsprechenden Änderungen auch an jeder Replik vornehmen müssen, wenn Sie am lokalen Schema eines Open Directory-Masters ein Attribut ändern oder hinzufügen. Abhängig von der Anzahl Ihrer Repliken kann der manuelle Aktualisierungsprozess sehr viel Zeit beanspruchen. Wenn Sie die Änderungen von Schemata nicht lokal auf alle zugehörigen Repliken übertragen, erzeugen ihre Replikserver Fehler, wenn Werte für das neu hinzugefügte Attribut an die Replikserver gesendet werden. Zur Vermeidung dieses Ausfallrisikos verwendet Mac OS X ein verzeichnisbasiertes Schema, das in der Verzeichnisdatenbank gespeichert ist und automatisch für alle Replikserver von der replizierten Verzeichnisdatenbank aktualisiert wird. So wird das Schema für alle Repliken synchronisiert und eine größere Flexibilität für Änderungen am Schema erzielt. Die Struktur von LDAP-Verzeichnisinformationen In einem LDAP-Verzeichnis werden Eingaben in einer hierarchischen Baumstruktur angelegt. Bei manchen LDAP-Verzeichnissen wird diese Struktur durch geografische und unternehmensspezifische Einschränkungen vorgegeben. Überwiegend basiert die Struktur jedoch auf Internet-Domain-Namen. In einer einfachen Verzeichnisstruktur befinden sich die Eingaben für Benutzer, Benutzergruppen, Computer und andere Objektklassen direkt unter der root-Ebene der Hierarchie, wie die folgende Abbildung zeigt: dc=com dc=beispiel cn=benutzer uid=anne cn=Anne Johnson cn=gruppen cn=computer uid=juan cn=Juan Chavez Kapitel 1 Verzeichnisdienste mit Open Directory 29 Auf eine Eingabe wird durch das zugehörige Attribut DN (Distinguished Name) verwiesen. Erzeugt wird dieser Name durch das Verbinden des Eingabenamens, der als RDN (Relative Distinguished Name) bezeichnet wird, mit den Namen zugehöriger Vorläufereinträge. Die Eingabe für Anne Johnson könnte beispielsweise als RDN die Angabe uid=anne und als DN die Angabe uid=anne, cn=benutzer, dc=beispiel, dc=com enthalten. Der LDAP-Dienst ruft Daten ab, indem die Hierarchie der Eingaben durchsucht wird. Der Suchvorgang kann bei einer beliebigen Eingabe beginnen. Die Eingabe, mit der die Suche beginnt, ist der Suchbeginn. Sie können den Suchbeginn festlegen, indem Sie den Namen einer Eingabe im LDAPVerzeichnis angeben. Beispielsweise gibt der Suchbeginn cn=benutzer, dc=beispiel, dc=com an, dass der LDAP-Dienst die Suche bei der Eingabe beginnt, deren cn-Attribut den Wert „benutzer“ hat. Sie können auch festlegen, wie weit die LDAP-Hierarchie unterhalb des Suchbeginns durchsucht werden soll. Der Suchbereich kann alle Zweige unter dem Suchbeginn einschließen oder die erste Ebene der Eingaben unter dem Suchbeginn. Wenn Sie Befehlszeilenprogramme für die Suche nach einem LDAP-Verzeichnis verwenden, können Sie den Suchbereich auch so einschränken, dass nur der Suchbeginn eingeschlossen ist. Lokale und gemeinsam genutzte Verzeichnis-Domains An welchem Speicherort Sie die Benutzerinformationen und weitere Verwaltungsdaten Ihres Servers ablegen, hängt davon ab, ob die Daten freigegeben werden müssen. Diese Informationen können in der lokalen Verzeichnis-Domain des Servers oder in einer gemeinsam genutzten Verzeichnis-Domain gespeichert werden. Informationen zur lokalen Verzeichnis-Domain Jeder Mac OS X Computer hat eine lokale Verzeichnis-Domain. Die Verwaltungsdaten einer lokalen Verzeichnis-Domain werden ausschließlich für Programme und Systemsoftware angezeigt, die auf dem Computer mit dieser Domain aktiv sind. Dies ist die erste Domain, die abgefragt wird, wenn sich ein Benutzer anmeldet oder eine andere Funktion ausführt, die in einer Verzeichnis-Domain gespeicherte Daten erfordert. Wenn sich der Benutzer an einem Mac OS X-Computer anmeldet, durchsucht Open Directory die lokale Verzeichnis-Domain des Computers nach dem Eintrag des Benutzers. Wenn die lokale Verzeichnis-Domain den Eintrag des Benutzers enthält (und der Benutzer das korrekte Kennwort eingegeben hat), wird der Anmeldevorgang fortgesetzt und der Benutzer erhält Zugriff auf den Computer. 30 Kapitel 1 Verzeichnisdienste mit Open Directory Nach der Anmeldung könnte der Benutzer die Option „Mit Server verbinden“ aus dem Menü „Gehe zu“ wählen und eine Verbindung zum Dateidienst von Mac OS X Server herstellen. In diesem Fall sucht Open Directory auf dem Server den Benutzereintrag in der lokalen Verzeichnis-Domain des Servers. Wenn die lokale Verzeichnis-Domain des Servers einen Eintrag für den Benutzer enthält (und der Benutzer das korrekte Kennwort eingibt), erlaubt der Server dem Benutzer den Zugriff auf Dateidienste, wie die folgende Abbildung zeigt: Anmelden bei Mac OS X Verbindung zu Mac OS X Server für Dateidienste Lokale VerzeichnisDomain Lokale VerzeichnisDomain Wenn Sie einen Mac OS X-Computer konfigurieren, wird eine zugehörige lokale Verzeichnis-Domain erstellt und mit Einträgen gefüllt. So wird beispielsweise ein Benutzereintrag für den Benutzer erstellt, der die Installation durchführt. Er enthält den beim Einrichten eingegebenen Benutzernamen und das zugehörige Kennwort sowie weitere Informationen, etwa eine eindeutige Benutzer-ID und den Speicherort für den Benutzerordner des Benutzers. Informationen zu gemeinsam genutzten Verzeichnis-Domains Open Directory kann zwar auf jedem Mac OS X-Computer Verwaltungsdaten in dessen lokaler Verzeichnis-Domain ablegen. Die eigentliche Stärke von Open Directory liegt jedoch darin, dass es mehreren Mac OS X-Computern die gemeinsame Nutzung von Verwaltungsdaten erlauben kann, indem die Daten in gemeinsam genutzten Verzeichnis-Domains abgelegt werden. Wenn ein Computer für die Verwendung einer gemeinsam genutzten Domain konfiguriert wird, sind die Verwaltungsdaten in der gemeinsam genutzten Domain auch für auf diesem Computer aktive Programme und Systemsoftware sichtbar. Wenn Open Directory den Eintrag eines Benutzers in der lokalen Verzeichnis-Domain eines Mac OS X-Computers nicht finden kann, kann Open Directory die Suche in allen gemeinsam genutzten Domains fortsetzen, auf die der Computer Zugriff hat. Kapitel 1 Verzeichnisdienste mit Open Directory 31 Im folgenden Beispiel kann der Benutzer auf beide Computer zugreifen, weil die gemeinsam genutzte Domain, auf die beide Computer Zugriff haben, einen Eintrag für den Benutzer enthält. Gemeinsam genutzte VerzeichnisDomain Anmelden bei Mac OS X Verbindung zu Mac OS X Server für Dateidienste Lokale VerzeichnisDomain Lokale VerzeichnisDomain Gemeinsam genutzte Domains befinden sich im Allgemeinen auf Servern, weil in Verzeichnis-Domains äußerst wichtige Daten wie die Daten für die Identifizierung von Benutzern gespeichert sind. Der Zugriff auf Server ist normalerweise stark eingeschränkt, um die auf ihnen gespeicherten Daten zu schützen. Außerdem müssen Verzeichnisdaten immer verfügbar sein. Server weisen oft zusätzliche Hardwarefunktionen auf, die ihre Zuverlässigkeit erhöhen, und sie können an USV-Vorrichtungen angeschlossen werden. 32 Kapitel 1 Verzeichnisdienste mit Open Directory Gemeinsam genutzte Daten in vorhandenen Verzeichnis-Domains Manche Organisationen – wie Universitäten und weltweit tätige Unternehmen – verwalten Benutzerinformationen und andere Verwaltungsdaten in Verzeichnis-Domains auf UNIX- und Windows-Servern. Open Directory kann diese Nicht-Apple-Domains und gemeinsam genutzten Open Directory-Domains von Mac OS X Server-Systemen durchsuchen, wie die folgende Abbildung zeigt. Mac OS X Server Windows-Server Lokale VerzeichnisDomain Active DirectoryDomain Gemeinsam genutzte VerzeichnisDomain Lokale VerzeichnisDomain Mac OS X-Benutzer Mac OS X-Benutzer Windows-Benutzer Die Reihenfolge, in der Mac OS X Verzeichnis-Domains durchsucht, ist konfigurierbar. Ein Suchpfad legt die Reihenfolge fest, in der Mac OS X die Verzeichnis-Domains durchsucht. Erläuterungen zu Suchrichtlinien finden Sie in Kapitel 2 „Open Directory-Suchpfade“. SMB-Dienste und Open Directory Sie können Mac OS X Server mit Open Directory und mit SMB-Diensten konfigurieren, um Windows-Workstations bereitzustellen. Bei gemeinsamer Verwendung dieser beiden Dienste können Sie Mac OS X Server als primären Domain-Controller (PDC) oder als Backup-Domain-Controller (BDC) konfigurieren. Open Directory als primärer Domain-Controller (PDC) Mac OS X Server kann als Windows-PDC konfiguriert werden, sodass sich Benutzer von Windows NT-kompatiblen Workstations über Domain-Accounts anmelden können. Ein PDC stellt jedem Windows-Benutzer jeweils einen Benutzernamen und ein Kennwort bereit, mit denen sich dieser Benutzer über jede Workstation mit Windows NT 4.x, Windows 2000, Windows XP und Windows Vista im Netzwerk anmelden kann. Anstatt sich mit einem Benutzernamen und einem Kennwort anzumelden, die lokal auf einer Workstation definiert sind, kann sich der jeweilige Benutzer mit dem auf dem PDC definierten Benutzernamen und Kennwort anmelden. Kapitel 1 Verzeichnisdienste mit Open Directory 33 Derselbe Benutzer-Account, der für die Anmeldung über Windows-Workstations verwendet werden kann, kann auch für die Anmeldung über Mac OS X-Computer genutzt werden. Benutzer mit beiden Plattformen können daher denselben Benutzerordner, denselben E-Mail-Account und dieselben Druckkontingente auf beiden Plattformen verwenden. Während der Anmeldung an der Windows-Domain können Benutzer ihr Kennwort ändern. Benutzer-Accounts werden im LDAP-Verzeichnis des Servers mit Gruppen-, Computer und weiteren Informationen gespeichert. Der PDC hat Zugriff auf diese Verzeichnisinformationen, weil Sie den PDC auf einem Server eingerichtet haben, der ein Open Directory-Master ist und ein LDAP-Verzeichnis bereitstellt. Darüber hinaus verwendet der PDC den Kennwortserver des Open Directory-Masters für die Identifizierung von Benutzern, wenn sie sich an der Windows-Domain anmelden. Der Kennwortserver kann Kennwörter mithilfe der Identifizierungsmethoden „NTLMv2“, „NTLMv1“ und „LAN-Manager“ und mit weiteren Methoden prüfen. Der Open Directory-Master kann auch über ein Kerberos-KDC (Key Distribution Center) verfügen. Der PDC verwendet Kerberos nicht für die Identifizierung von Benutzern für Windows-Dienste. Der Mail-Dienst und weitere Dienste können jedoch für die Verwendung von Kerberos konfiguriert werden, um Benutzer von Windows-Workstations zu identifizieren, die über Accounts im LDAP-Verzeichnis verfügen. Ein Benutzer muss den Kennworttyp „Open Directory“ haben, damit sein Kennwort vom Open Directory-Kennwortserver und von Kerberos geprüft werden kann. Ein BenutzerAccount mit dem Kennworttyp „Crypt“ kann nicht für Windows-Dienste verwendet werden, weil „Crypt“-Kennwörter nicht mithilfe der Identifizierungsmethoden „NTLMv2“, „NTLMv1“ oder „LAN-Manager“ geprüft werden können. Beim Server können sich auch Benutzer-Accounts in der zugehörigen lokalen VerzeichnisDomain befinden. Jeder Server mit Mac OS X Server verfügt über einen solchen Account. Der PDC verwendet diese Accounts nicht für die Anmeldung an Windows-Domains, kann sie jedoch für die Identifizierung von Benutzern für den Windows-Dateidienst und andere Dienste nutzen. Benutzer-Accounts in der lokalen Verzeichnis-Domain, die den Kennworttyp „Shadow“ aufweisen, können für Windows-Dienste verwendet werden, weil „Shadow“-Kennwörter mithilfe der Identifizierungsmethoden „NTLMv2“, „NTLMv1“ und „LAN-Manager“ und weiterer Methoden geprüft werden können. Zum Zweck der Kompatibilität unterstützt Mac OS X Server Benutzer-Accounts, die für die Verwendung der traditionellen Technologie des Identifizierungsmanagers (Authentification Manager) konfiguriert wurden, damit Kennwörter in den Mac OS X Server-Versionen 10.0 bis 10.2 geprüft werden können. Nach der Aktualisierung eines Servers auf Mac OS X Server 10.5 können vorhandene Benutzer ihre bisherigen Kennwörter weiter verwenden. 34 Kapitel 1 Verzeichnisdienste mit Open Directory Ein Benutzer-Account verwendet den Identifizierungsmanager, wenn der Account sich in einer lokalen Verzeichnis-Domain befindet, für die der Identifizierungsmanager aktiviert wurde, und wenn für den Account die Verwendung eines „Crypt“-Kennworts festgelegt wurde. Wenn Sie ein Verzeichnis von NetInfo auf LDAP migrieren, werden alle Benutzer-Accounts, die bisher den Identifizierungsmanager für die Kennwortprüfung verwendet haben, auf den Kennworttyp „Open Directory“ konvertiert. Stellen Sie beim Einrichten von Mac OS X Server als PDC sicher, dass es in Ihrem Netzwerk keinen weiteren PDC mit demselben Domain-Namen gibt. Das Netzwerk kann mehrere Open Directory-Master, aber nur einen einzigen PDC haben. Open Directory als BDC Durch das Festlegen von Mac OS X als BDC steht dem PDC Ausfallumschaltung und Datensicherung zur Verfügung. Der PDC und der BDC nutzen Windows-Client-Anfragen für Domain-Anmeldungen und weitere Verzeichnis- und Identifizierungsdienste gemeinsam. Ist der Mac OS X Server-PDC nicht verfügbar, stellt der Mac OS X ServerBDC den Dienst für die Domain-Anmeldung und weitere Verzeichnis- und Identifizierungsdienste bereit. Der BDC verfügt über eine synchronisierte Kopie der Benutzer-, Gruppen-, Computerund weiterer Verzeichnisdaten des PDCs. Der PDC und der BDC verfügen außerdem über synchronisierte Kopien der Identifizierungsdaten. Mac OS X Server synchronisiert die Verzeichnis- und Identifizierungsdaten automatisch. Vor dem Einrichten von Mac OS X Server als BDC müssen Sie den Server als Open Directory-Replik konfigurieren. Der BDC verwendet das schreibgeschützte LDAPVerzeichnis, den Kerberos-KDC und den Kennwortserver der Open Directory-Replik. Mac OS X Server synchronisiert den PDC und den BDC durch automatisches Aktualisieren der Open Directory-Replik mit den am Open Directory-Master vorgenommenen Änderungen. Nach der Installation können Sie mithilfe des Programms „Server-Admin“ den Server mit Mac OS X Server als Open Directory-Replik und als BDC konfigurieren. Sie können mehrere BDCs einrichten, die sich jeweils auf einem separaten Open Directory-Replikserver befinden. Wichtig: Mehrere PDCs sind in einem Netzwerk nicht zulässig. Kapitel 1 Verzeichnisdienste mit Open Directory 35 2 Open Directory-Suchpfade 2 Der Suchpfad eines Computers gibt an, in welcher Reihenfolge Open Directory die Verzeichnis-Domains durchsucht. Jeder Mac OS X-Computer verfügt über einen Suchpfad, der auch als Suchrichtlinie bezeichnet wird. Der Suchpfad gibt an, auf welche Verzeichnis-Domains Open Directory zugreifen kann, etwa auf die lokale Verzeichnis-Domain des Computers und ein bestimmtes freigegebenes Verzeichnis. Der Suchpfad gibt auch die Reihenfolge an, in der Open Directory auf VerzeichnisDomains zugreift. Open Directory durchsucht alle Verzeichnis-Domains und stoppt die Suche, wenn eine Übereinstimmung vorliegt. Zum Beispiel stoppt Open Directory die Suche nach einem Benutzereintrag, wenn es einen Eintrag findet, dessen Benutzername mit dem gesuchten Namen übereinstimmt. Suchpfadebenen Ein Suchpfad kann nur die lokale Verzeichnis-Domain, die lokale Verzeichnis-Domain und ein freigegebenes Verzeichnis oder die lokale Verzeichnis-Domain und mehrere freigegebene Verzeichnisse umfassen. In einem Netzwerk mit einem gemeinsam genutzten Verzeichnis greifen im Allgemeinen mehrere Computer auf das gemeinsam genutzte Verzeichnis zu. Diese Anordnung ähnelt einer baumähnlichen Struktur mit dem gemeinsam genutzten Verzeichnis an der Spitze und lokalen Verzeichnissen unten. Suchpfad für eine lokale Verzeichnis-Domain Die einfachste Form eines Suchpfads besteht ausschließlich aus der lokalen VerzeichnisDomain eines Computers. In diesem Fall sucht Open Directory Benutzerinformationen und andere Verwaltungsdaten nur in der lokalen Verzeichnis-Domain jedes Computers. Wenn ein Server im Netzwerk als Host eines gemeinsam genutzten Verzeichnisses dient, sucht Open Directory dort keine Benutzerinformationen oder Verwaltungsdaten, weil das gemeinsam genutzte Verzeichnis nicht Teil des Suchpfads des Computers ist. 37 Die folgende Abbildung zeigt zwei Computer in einem Netzwerk, die ausschließlich ihre jeweilige lokale Verzeichnis-Domain nach Verwaltungsdaten durchsuchen. Lokale VerzeichnisDomain Lokale VerzeichnisDomain Computer der Klasse Englisch Computer der Klasse Naturwissenschaften Suchpfad 1 Zweistufige Suchpfade Wenn ein einzelner Server im Netzwerk als Host eines gemeinsam genutzten Verzeichnisses dient, können alle Computer im Netzwerk das gemeinsam genutzte Verzeichnis in ihre Suchpfade einbeziehen. In diesem Fall sucht Open Directory Benutzerinformationen und andere Verwaltungsdaten zuerst in der lokalen Verzeichnis-Domain. Wenn Open Directory die erforderlichen Informationen in der lokalen Verzeichnis-Domain nicht findet, sucht es im gemeinsam genutzten Verzeichnis. Die folgende Abbildung zeigt zwei Computer und eine gemeinsam genutzte Verzeichnis-Domain in einem Netzwerk. Die Computer sind mit der gemeinsam genutzten Verzeichnis-Domain verbunden und enthalten sie in ihrem Suchpfad. Lokale VerzeichnisDomain Gemeinsam genutzte Verzeichnis-Domain Lokale VerzeichnisDomain Suchpfad 1 2 Computer der Klasse Englisch Computer der Klasse Naturwissenschaften Es folgt ein Szenario, in dem ein zweistufiger Suchpfad verwendet werden könnte: Lokale VerzeichnisDomain Gemeinsam genutzte Verzeichnis-Domain Lokale VerzeichnisDomain Suchpfad 1 2 Computer der Klasse English Computer der Klasse Naturwissenschaften Lokale VerzeichnisDomain Computer der Klasse Mathematik 38 Kapitel 2 Open Directory-Suchpfade Jede Klasse (Englisch, Mathematik, Naturwissenschaften) verwendet ihren eigenen Computer. Die Schüler in jeder Klasse sind als Benutzer in der lokalen Domain des Computers dieser Klasse definiert. Alle drei lokalen Domains verwenden dieselbe gemeinsam genutzte Domain, in der alle Lehrkräfte definiert sind. Als Mitglieder der gemeinsam genutzten Domain können sich die Lehrkräfte an den Computern aller Klassen anmelden. Die Schüler in jeder lokalen Domain können sich nur an dem Computer anmelden, auf dem sich ihr lokaler Account befindet. Lokale Domains befinden sich auf den entsprechenden Computern, während sich gemeinsam genutzte Domains auf einem Server befinden, auf den über den Computer der lokalen Domain zugegriffen werden kann. Wenn sich eine Lehrkraft an einem Computer in einer der drei Klassen anmeldet und nicht in der lokalen Domain gefunden wird, durchsucht Open Directory die gemeinsam genutzte Domain. Das folgende Beispiel enthält nur eine einzelne gemeinsam genutzte Domain. In komplexeren Netzwerken kann jedoch eine größere Anzahl gemeinsam genutzter Domains vorliegen. Mac OS X Server der Schule Computer der Klasse Naturwissenschaften Lokale VerzeichnisDomain Gemeinsam genutzte VerzeichnisDomain Lokale VerzeichnisDomain Lokale VerzeichnisDomain Lokale VerzeichnisDomain Computer der Klasse Englisch Kapitel 2 Open Directory-Suchpfade Computer der Klasse Mathematik 39 Mehrstufige Suchpfade Wenn mehrere Server im Netzwerk als Host eines gemeinsam genutzten Verzeichnisses dienen, können die Computer im Netzwerk zwei oder mehr gemeinsam genutzte Verzeichnisse in ihre Suchpfade einbeziehen. Wie bei einfacheren Suchpfaden sucht Open Directory Benutzerinformationen und andere Verwaltungsdaten stets zuerst in der lokalen Verzeichnis-Domain. Wenn Open Directory die erforderlichen Informationen in der lokalen Verzeichnis-Domain nicht findet, durchsucht es alle gemeinsam genutzten Verzeichnisse in der im Suchpfad angegebenen Reihenfolge. Es folgt ein Szenario, in dem mehrere gemeinsam genutzte Verzeichnisse verwendet werden könnten: Suchpfad 1 Verzeichnis-Domain für Mathematik 2 3 Verzeichnis-Domain für Englisch Verzeichnis-Domain der Schule Verzeichnis-Domain für Natzurwissenschaften Jede Klasse (Englisch, Mathematik, Naturwissenschaften) verfügt über einen Server, der Host einer gemeinsam genutzten Verzeichnis-Domain ist. Der Suchpfad jedes Computers in einem Klassenzimmer gibt die lokale Domain des Computers, die gemeinsam genutzte Domain der Klasse und die gemeinsam genutzte Domain der Schule an. Die Schüler jeder Klasse sind in der gemeinsam genutzten Domain auf dem Server dieser Klasse als Benutzer definiert, damit sich jeder Schüler an jedem Computer in der Klasse anmelden kann. Da die Lehrkräfte in der gemeinsam genutzten Domain des Schulservers definiert sind, können sie sich an allen Computern jedes Klassenzimmers anmelden. Sie können die Einstellungen für ein ganzes Netzwerk oder eine Gruppe von Computern festlegen, indem Sie die Domain auswählen, in der Verwaltungsdaten definiert werden sollen. Je höher die Verwaltungsdaten in einem Suchpfad angesiedelt sind, desto weniger Stellen müssen geändert werden, wenn sich Benutzer- und Systemressourcen ändern. 40 Kapitel 2 Open Directory-Suchpfade Der wahrscheinlich wichtigste Aspekt von Verzeichnisdiensten für Administratoren ist die Planung von Verzeichnis-Domains und Suchpfaden. Diese müssen Folgendes widerspiegeln: die Ressourcen, die Sie freigeben wollen, die Benutzer, für die sie freigegeben werden sollen, und das Verfahren, mit dem Sie Ihre Verzeichnisdaten verwalten wollen. Automatische Suchpfade Mac OS X-Computer können für das automatische Festlegen von Suchpfaden konfiguriert werden. Ein automatischer Suchpfad besteht aus zwei Teilen, von denen jeweils ein Teil optional ist: Â Lokale Verzeichnis-Domain Â Gemeinsam genutztes LDAP-Verzeichnis (optional) Der automatische Suchpfad eines Computers fängt immer mit der lokalen VerzeichnisDomain des Computers an. Wenn ein Mac OS X-Computer nicht mit einem Netzwerk verbunden ist, durchsucht er die zugehörige lokale Verzeichnis-Domain nach BenutzerAccounts und weiteren Verwaltungsdaten. Der automatische Suchpfad bestimmt dann, ob der Computer so konfiguriert ist, dass er eine Verbindung zu einer gemeinsam genutzten lokalen Verzeichnis-Domain herstellen kann. Der Computer kann mit einer gemeinsam genutzten lokalen Verzeichnis-Domain verbunden sein, die ihrerseits mit einer weiteren gemeinsam genutzten lokalen Verzeichnis-Domain verbunden sein kann, usw. Liegt eine Verbindung mit einer lokalen Verzeichnis-Domain vor, bildet sie den zweiten Teil des automatischen Suchpfads. Weitere Informationen hierzu finden Sie im Abschnitt „Informationen zur lokalen Verzeichnis-Domain“ auf Seite 30. Schließlich kann ein Computer mit einem automatischen Suchpfad eine Verbindung zu einem gemeinsam genutzten LDAP-Verzeichnis herstellen. Beim Starten kann der Computer die Adresse eines LDAP-Verzeichnisservers über den DHCP-Dienst abrufen. Der DHCP-Dienst von Mac OS X Server kann eine LDAP-Serveradresse in gleicher Weise bereitstellen wie die Adressen von DNS-Servern und einem Router. (Auch ein nicht von Apple stammender DHCP-Dienst kann eine LDAP-Serveradresse bereitstellen. Diese Funktion ist als DHCP-Option 95 bekannt.) Wenn der DHCP-Dienst von Mac OS X Server für Clients die Adresse eines LDAP-Servers für automatische Suchpfade zur Verfügung stellen soll, müssen Sie die LDAP-Optionen des DHCP-Diensts konfigurieren. Weitere Informationen hierzu finden Sie im Kapitel zu DHCP im Handbuch Netzwerkdienste – Administration. Kapitel 2 Open Directory-Suchpfade 41 Wenn ein Mac OS X Computer die Adresse eines LDAP-Servers vom DHCP-Server beziehen soll, gehen Sie wie folgt vor: Â Der Computer muss für die Verwendung eines automatischen Suchpfads konfiguriert werden. Dazu gehört das Auswählen der Option zum Hinzufügen von LDAPVerzeichnissen, die durch DHCP bereitgestellt werden. Weitere Informationen hierzu finden Sie in den Abschnitten „Verwenden von erweiterten Einstellungen für Suchpfade“ auf Seite 149 und „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses“ auf Seite 156. Â Die Netzwerkeinstellungen des Computers müssen für die Verwendung von DHCP oder DHCP mit manueller IP-Adresse konfiguriert sein. Mac OS X ist anfangs für die Verwendung von DHCP konfiguriert. Weitere Informationen zum Festlegen von Netzwerkeinstellungen finden Sie in der Mac-Hilfe. Ein automatischer Suchpfad ist ebenso komfortabel wie flexibel und daher besonders für Mobilcomputer die beste Wahl. Wenn ein Computer mit einem automatischen Suchpfad vom Netzwerk getrennt, mit einem anderen Netzwerk verbunden oder in ein anderes Teilnetzwerk eingebunden wird, wird der Suchpfad automatisch geändert. Wenn der Computer vom Netzwerk getrennt wird, verwendet er die lokale VerzeichnisDomain. Ist der Computer mit einem anderen Netzwerk oder Teilnetz verbunden, kann er die zugehörige Verbindung zur lokalen Verzeichnis-Domain ändern und eine LDAPServeradresse über den DHCP-Dienst im aktuellen Teilnetz abrufen. Mit einem automatischen Suchpfad muss ein Computer nicht erneut konfiguriert werden, um Verzeichnis- und Identifizierungsdienste am zugehörigen neuen Ort abzurufen. Wichtig: Wenn Sie Mac OS X für die Verwendung eines automatischen Identifizierungssuchpfads und eines von DHCP bereitgestellten LDAP-Servers bzw. einer von DHCP bereitgestellten lokalen Verzeichnis-Domain konfigurieren, steigt das Risiko, dass unbefugte Benutzer Zugang zu Ihrem Computer erhalten. Dieses Risiko ist noch höher, wenn Ihr Computer für den Zugang zu einem drahtlosen Netzwerk konfiguriert ist. Weitere Informationen hierzu finden Sie im Abschnitt „Schützen von Computern vor unberechtigten Zugriffen über einen DHCP-Server“ auf Seite 153. 42 Kapitel 2 Open Directory-Suchpfade Spezielle Suchpfade Wenn Sie verhindern möchten, dass ein Mac OS X-Computer den von DHCP zur Verfügung gestellten automatischen Suchpfad verwendet, können Sie einen speziellen Suchpfad für den Computer definieren. Zum Beispiel könnte ein spezieller Suchpfad angeben, dass zuerst in einer Active Directory-Domain gesucht wird und dann erst in der gemeinsam genutzten Verzeichnis-Domain eines Open Directory-Servers. Benutzer können ihren Computer so konfigurieren, dass sie sich mithilfe ihrer Benutzereinträge über die Active Directory-Domain anmelden können und ihre Einstellungen in Gruppen- und Computereinträgen über die Open Directory-Domain verwaltet werden. In einem System mehrerer Netzwerke oder ohne Verbindung zu einem Netzwerk funktioniert ein angepasster Suchpfad generell nicht, weil er von der Verfügbarkeit bestimmter Verzeichnis-Domains bzw. eines bestimmten Netzwerks abhängt. Wenn ein Mobilcomputer von seinem üblichen Netzwerk getrennt wird, kann er nicht mehr auf die gemeinsam genutzten Verzeichnis-Domains im zugehörigen angepassten Suchpfad zugreifen. Der getrennte Computer hat jedoch weiterhin Zugriff auf die eigene lokale Verzeichnis-Domain, weil sie die erste Verzeichnis-Domain in jedem Suchpfad ist. Der Benutzer des Mobilcomputers kann sich mithilfe eines Benutzereintrags über die lokale Verzeichnis-Domain anmelden, die mobile Benutzer-Accounts enthalten kann. Diese spiegeln Benutzer-Accounts aus der gemeinsam genutzten Verzeichnis-Domain, auf die der Mobilcomputer bei einer bestehenden Verbindung zu seinem normalerweise verwendeten Netzwerk zugreift. Suchpfade für Identifizierung und Kontakte Ein Mac OS X-Computer verfügt über einen Suchpfad für Identifizierungsinformationen und einen separaten Suchpfad für Kontaktinformationen: Â Open Directory verwendet den Suchpfad zur Identifizierung, um Informationen zur Anmeldung von Benutzern und andere administrative Daten in Verzeichnis-Domains zu suchen und daraus abzurufen. Â Open Directory verwendet den Suchpfad für Kontakte, um Namen, Adressen und andere Kontaktinformationen in Verzeichnis-Domains zu suchen und daraus abzurufen. Das Mac OS X-Programm „Adressbuch“ verwendet diese Kontaktinformationen, und auch andere Programme können entsprechend konfiguriert werden. Jeder Suchpfad kann automatisch oder angepasst sein oder ausschließlich eine lokale Verzeichnis-Domain enthalten. Kapitel 2 Open Directory-Suchpfade 43 3 Open Directory-Identifizierung 3 Open Directory stellt mehrere Optionen für die Identifizierung von Benutzern bereit, deren Accounts in VerzeichnisDomains unter Mac OS X Server gespeichert sind. Dazu gehören Kerberos und die herkömmlichen Identifizierungsmethoden, die für Netzwerkdienste erforderlich sind. Open Directory kann Benutzer anhand einer der folgenden Methoden identifizieren: Â Kerberos-Identifizierung mit Gesamtauthentifizierung (Single Sign-On) Â Herkömmliche Identifizierungsmethoden und ein in der Kennwortserver-Datenbank von Open Directory sicher abgelegtes Kennwort Â Herkömmliche Identifizierungsmethoden und ein „Shadow“-Kennwort, das in einer sicheren „Shadow“-Kennwortdatei für jeden Benutzer gespeichert ist Â Ein direkt im Account des Benutzers gespeichertes „Crypt“-Kennwort, das Kompatibilität mit traditionellen Systemen herstellt Â Ein Nicht-Apple-LDAP-Server für die identifizierte LDAP-Verzeichnisbindung Zusätzlich ermöglicht Ihnen Open Directory das Konfigurieren einer Kennwortrichtlinie für alle Benutzer sowie bestimmter Kennwortrichtlinien für einzelne Benutzer. Dabei können Sie z. B. ein automatisches Ablaufen des Kennworts und die minimale Kennwortlänge festlegen. (Kennwortrichtlinien gelten nicht für Administratoren, für die „Crypt“-Kennwortidentifizierung oder die identifizierte LDAP-Verzeichnisbindung.) 45 Kennworttypen Jeder Benutzer-Account besitzt einen Kennworttyp, der die Identifizierung des BenutzerAccounts festlegt. In einer lokalen Verzeichnis-Domain ist der standardmäßige Kennworttyp das „Shadow“-Kennwort. Wurde ein Server von Mac OS X Server 10.3 aktualisiert, besitzen die Benutzer-Accounts in der lokalen Verzeichnis-Domain u. U. auch einen Open Directory-Kennworttyp. Benutzer-Accounts im LDAP-Verzeichnis von Mac OS X Server verwenden standardmäßig den Kennworttyp „Open Directory“. Benutzer-Accounts im LDAP-Verzeichnis können auch ein Kennwort des Typs „Crypt“-Kennwort haben. Identifizierung und Berechtigung Dienste wie das Anmeldefenster und der Apple-Dateidienst fordern die Identifizierung von Benutzern bei Open Directory an. Die Identifizierung ist Teil des Vorgangs, bei dem ein Dienst ermittelt, ob einem Benutzer der Zugriff auf eine Ressource gestattet werden soll. Meistens erfordert dieser Vorgang auch die Erteilung einer Berechtigung. Bei der Identifizierung wird die Identität eines Benutzers überprüft, während bei der Erteilung der Berechtigung bestimmt wird, welche Aktionen der identifizierte Benutzer ausführen darf. Ein Benutzer identifiziert sich in der Regel durch Angabe eines gültigen Namens und Kennworts. Ein Dienst kann dem identifizierten Benutzer anschließend die Berechtigung zum Zugriff auf bestimmte Ressourcen erteilen. So erteilt beispielsweise der Dateidienst einem Benutzer, dessen Identifizierung erfolgreich abgeschlossen wurde, alle Zugriffsrechte für dessen Ordner und Dateien. Die Vorgänge der Identifizierung und Berechtigung kennen Sie zum Beispiel von einem Einkauf, für den Sie eine Kreditkarte verwenden. Der Verkäufer identifiziert Sie, indem er Ihre Unterschrift auf dem Kaufbeleg mit der Unterschrift auf Ihrer Kreditkarte vergleicht. Anschließend überträgt der Verkäufer Ihre gültige Kreditkartennummer an die Bank. Diese wiederum genehmigt die Zahlung auf Grundlage Ihres Kontostands und Ihrer Kreditlinie. Open Directory identifiziert Benutzer-Accounts, und SACL-Listen (Service Access Control Lists) berechtigen zur Nutzung von Diensten. Wenn Ihre Identifizierung durch Open Directory erfolgt, bestimmt die SACL des Anmeldefensters, ob Sie sich anmelden können, die SACL für den AFP-Dienst (Apple Filing Protocol) legt fest, ob Sie eine Verbindung zum Dateidienst herstellen können, usw. Einige Dienste legen außerdem fest, ob ein Benutzer für den Zugriff auf bestimmte Ressourcen berechtigt ist. Für diese Berechtigung kann das Abrufen weiterer Benutzer-Account-Informationen von der Verzeichnis-Domain erforderlich sein. Der AFPDienst z. B. benötigt Informationen zur Benutzer-ID und Gruppenmitgliedschaft, um zu bestimmen, für welche Ordner und Dateien der Benutzer Lese- und Schreibberechtigungen hat. 46 Kapitel 3 Open Directory-Identifizierung Open Directory-Kennwörter Wenn der Account eines Benutzers den Kennworttyp „Open Directory“ aufweist, kann der Benutzer mithilfe von Kerberos oder des Open Directory-Kennwortservers identifiziert werden. Kerberos ist ein System für die Identifizierung im Netzwerk, das von einem vertrauenswürdigen Server ausgegebene Zertifikate verwendet. Der Open Directory-Kennwortserver unterstützt die üblichen Methoden für die Kennwortidentifizierung, die für einige Netzwerkdienst-Clients erforderlich sind. Weder Kerberos noch der Open Directory-Kennwortserver speichern das Kennwort im Account des Benutzers. Kerberos und der Open Directory-Kennwortserver speichern Kennwörter in sicheren, von der Verzeichnis-Domain getrennten Datenbanken, und Kennwörter sind niemals lesbar. Kennwörter können nur festgelegt und überprüft werden. Unberechtigte Benutzer könnten versuchen, sich über das Netzwerk anzumelden, in der Absicht, Zugriff auf Kerberos und den Open Directory-Kennwortserver zu erlangen. Durch Open Directory-Protokolle können Sie über fehlgeschlagene Anmeldeversuche informiert werden. Weitere Informationen hierzu finden Sie im Abschnitt „Anzeigen von Open Directory-Status und -Protokollen“ auf Seite 210. Benutzer-Accounts in den folgenden Verzeichnis-Domains können über Open DirectoryKennwörter verfügen: Â im LDAP-Verzeichnis von Mac OS X Server Â in der lokalen Verzeichnis-Domain von Mac OS X Server Hinweis: Open Directory-Kennwörter können nicht zur Anmeldung an Mac OS X 10.1 (oder älter) verwendet werden. Benutzer, die sich über das Anmeldefenster von Mac OS X 10.1 (oder neuer) anmelden, müssen für die Verwendung von „Crypt“-Kennwörtern konfiguriert sein. Für andere Dienste ist dieser Kennworttyp nicht relevant. Zum Beispiel könnte sich ein Benutzer von Mac OS X 10.1 für den Apple-Dateidienst mit einem Open Directory-Kennwort identifizieren. „Shadow“-Kennwörter „Shadow“-Kennwörter unterstützen die gleichen üblichen Identifizierungsmethoden wie ein Open Directory-Kennwortserver. Diese Identifizierungsmethoden werden verwendet, um „Shadow“-Kennwörter verschlüsselt bzw. als Hash-Kennwort (Kennwort mit Prüfsumme) über das Netzwerk zu senden. Ein „Shadow“-Kennwort wird in Form mehrerer Prüfsummen in einer Datei auf demselben Computer wie die Verzeichnis-Domain gespeichert, in der sich der BenutzerAccount befindet. Weil das Kennwort nicht im Benutzer-Account gespeichert wird, ist es nicht leicht, das Kennwort über das Netzwerk abzufangen. Für jeden Benutzer wird das „Shadow“-Kennwort in einer anderen Datei abgelegt, die als „Shadow“-Kennwortdatei bezeichnet wird. Diese Dateien sind geschützt, damit sie nur vom Account des root-Benutzers gelesen werden können. Kapitel 3 Open Directory-Identifizierung 47 Nur für Benutzer-Accounts, die in der lokalen Verzeichnis-Domain eines Computers gespeichert sind, können „Shadow“-Kennwörter verwendet werden. Für BenutzerAccounts, die in einem gemeinsam genutzten Verzeichnis gespeichert sind, ist dies nicht möglich. „Shadow“-Kennwörter ermöglichen auch die einfache Identifizierung mobiler Benutzer-Accounts. Umfassende Informationen zu mobilen Benutzer-Accounts finden Sie im Handbuch Benutzerverwaltung. „Crypt“-Kennwörter Ein „Crypt“-Kennwort wird in einer Prüfsumme (Hash) im Benutzer-Account gespeichert. Diese Strategie, auch Basisberechtigung genannt, eignet sich am besten für Software, die direkt auf Benutzereinträge zugreifen muss. Beispielsweise setzt Mac OS X 10.1 (oder neuer) das Vorhandensein eines „Crypt“-Kennworts voraus, das im Benutzer-Account gespeichert ist. Die „Crypt“-Identifizierung unterstützt eine Kennwortlänge von maximal acht Byte (acht ASCII-Zeichen). Wenn ein längeres Kennwort in einen Benutzer-Account eingegeben wird, werden nur die ersten acht Byte für die „Crypt“-Kennwortüberprüfung verwendet. Dieser Grenzwert gilt nicht für „Shadow“-Kennwörter und Open Directory-Kennwörter. Für die sichere Übertragung von Kennwörtern in einem Netzwerk unterstützt das „Crypt“-Verfahren die Methode „DHX“ zur Identifizierung. Bereitstellen einer sicheren Identifizierung für Windows-Benutzer Mac OS X Server stellt für Windows-Benutzer dieselben Typen sicherer Kennwörter bereit: Â Open Directory-Kennwörter sind für Domain-Anmeldungen von einer WindowsWorkstation an einen Mac OS X Server-PDC erforderlich und können für die Identifizierung beim Windows-Dateidienst verwendet werden. Dieser Kennworttyp kann mit einer Vielzahl von Identifizierungsmethoden geprüft werden, einschließlich der Methoden „NTLMv2“, „NTLMv1“ und „LAN-Manager“. Open Directory-Kennwörter werden nicht in Benutzer-Accounts, sondern in einer sicheren Datenbank abgelegt. Â Domain-Anmeldungen sind mit „Shadow“-Kennwörtern nicht möglich, Sie können sie jedoch für den Windows-Dateidienst und weitere Dienste verwenden. Dieser Kennworttyp kann auch mit den Identifizierungsmethoden „NTLMv2“, „NTLMv1“ und „LANManager“ geprüft werden. „Shadow“-Kennwörter werden nicht in Benutzer-Accounts, sondern in sicheren Dateien gespeichert. Â Ein „Crypt“-Kennwort mit aktiviertem Identifizierungsmanager stellt die Kompatibilität für Benutzer-Accounts auf einem Server her, der von Mac OS X Server 10.1 aktualisiert wurde. Nach der Aktualisierung des Servers auf Mac OS X Server 10.5 sollten diese Benutzer-Accounts für die Verwendung von Open Directory-Kennwörtern umgestellt werden, die sicherer sind als der herkömmliche Identifizierungsmanager. 48 Kapitel 3 Open Directory-Identifizierung Offline-Angriffe auf Kennwörter Da „Crypt“-Kennwörter in Benutzer-Accounts gespeichert werden, können sie potenziellen Angriffen ausgesetzt sein. Benutzer-Accounts in einer gemeinsam genutzten Verzeichnis-Domain sind über das Netzwerk zugänglich. Jeder Benutzer im Netzwerk, der über das Programm „Arbeitsgruppenmanager“ verfügt oder sich mit Befehlszeilenprogrammen auskennt, kann den Inhalt von Benutzer-Accounts lesen, einschließlich der darin gespeicherten „Crypt“-Kennwörter. Open Directory-Kennwörter und „Shadow“-Kennwörter werden nicht in BenutzerAccounts gespeichert, sodass diese Kennwörter nicht über Verzeichnis-Domains gelesen werden können. Ein Angreifer oder Cracker könnte den Arbeitsgruppenmanager oder UNIX-Befehle verwenden, um Benutzereinträge in eine Datei zu kopieren. Der Cracker kann diese Datei dann auf ein System übertragen und verschiedene Entschlüsselungstechniken auf die in den Benutzereinträgen gespeicherten „Crypt“-Kennwörter anwenden. Nach der Entschlüsselung eines „Crypt“-Kennworts kann sich der Cracker unbemerkt mit einem gültigen Benutzernamen und Kennwort anmelden. Diese Art von Angriff wird als Offline-Angriff bezeichnet, weil keine wiederholten Anmeldeversuche erforderlich sind, um Zugriff auf ein System zu erlangen. Ein effektives Verfahren, derartige Kennwortangriffe zu unterbinden, ist die Verwendung geeigneter Kennwörter und die Vermeidung von „Crypt“-Kennwörtern. Verwenden Sie für ein Kennwort eine Kombination aus Buchstaben, Ziffern und Symbolen, die für unbefugte Benutzer nur schwer zu erraten ist. Geeignete Kennwörter bestehen idealerweise nicht aus tatsächlichen Wörtern. Sie können Ziffern und Symbole enthalten (etwa # oder $) oder aus dem ersten Buchstaben jedes Worts in einem Satz bestehen. Verwenden Sie sowohl Groß- als auch Kleinbuchstaben. „Shadow“- und Open Directory-Kennwörter sind bedeutend weniger anfällig für Offline-Angriffe, da sie nicht in Benutzereinträgen gespeichert werden. „Shadow“-Kennwörter werden in separaten Dateien gespeichert, die nur von einem Benutzer gelesen werden können, der das Kennwort des root-Benutzer-Accounts kennt (wird auch als Systemadministrator bezeichnet). Open Directory-Kennwörter werden sicher im Kerberos-KDC und in der Datenbank des Open Directory-Kennwortservers gespeichert. Das Open Directory-Kennwort eines Benutzers kann nicht von anderen Benutzern gelesen werden, nicht einmal von einem Benutzer mit Administratorrechten für die Open Directory-Identifizierung. (Ein solcher Administrator kann Open Directory-Kennwörter und -Kennwortrichtlinien lediglich ändern.) Kapitel 3 Open Directory-Identifizierung 49 „Crypt“-Kennwörter gelten als unsicher. Sie sollten ausschließlich für Benutzer-Accounts verwendet werden, die mit UNIX-Clients kompatibel sein müssen, die diese Kennwörter erfordern, oder für Clients von Mac OS X 10.1. Da sie in Benutzer-Accounts gespeichert werden, sind sie ebenfalls zugänglich und daher dem Risiko von Offline-Angriffen ausgesetzt. (Näheres finden Sie im Abschnitt „Offline-Angriffe auf Kennwörter“.) Obwohl diese Kennwörter in verschlüsselter Form gespeichert werden, sind sie relativ leicht zu entschlüsseln. Verschlüsseln von „Crypt“-Kennwörtern „Crypt“-Kennwörter werden nicht unverschlüsselt gespeichert. Sie werden durch Verschlüsselung kaschiert und unleserlich gemacht. Ein „Crypt“-Kennwort wird verschlüsselt, indem eine mathematische Funktion und eine Zufallszahl auf den reinen Kennworttext angewendet werden. Diese Funktion wird als unidirektionale Hash-Funktion bezeichnet. Eine unidirektionale Hash-Funktion erzeugt aus einer bestimmten Eingabe immer denselben verschlüsselten Wert, kann aber nicht verwendet werden, um aus der erzeugten verschlüsselten Ausgabe das ursprüngliche Kennwort wiederherzustellen. Zur Überprüfung eines Kennworts mithilfe des verschlüsselten Werts wendet Mac OS X die Hash-Funktion auf das vom Benutzer eingegebene Kennwort an und vergleicht es mit dem im Benutzer-Account oder der „Shadow“-Datei gespeicherten Wert. Sind die beiden Werte identisch, ist das Kennwort gültig. Bestimmen der zu verwendenden Option zur Identifizierung Damit ein Benutzer identifiziert werden kann, muss Open Directory zuerst die zu verwendende Option zur Identifizierung bestimmen – Kerberos, Open Directory-Kennwortserver, „Shadow“-Kennwort oder „Crypt“-Kennwort. Der Account des Benutzers enthält Informationen, die angeben, welche Option zur Identifizierung verwendet werden soll. Diese Information wird als Attribut zur Berechtigung der Identifizierung bezeichnet. Open Directory verwendet den vom Benutzer angegebenen Namen, um den Account des Benutzers in der Verzeichnis-Domain zu finden. Dann liest Open Directory das Attribut zur Berechtigung der Identifizierung im Account des Benutzers aus und bestimmt so, welche Option zur Identifikation verwendet werden soll. 50 Kapitel 3 Open Directory-Identifizierung Sie können das Attribut zur Berechtigung der Identifizierung eines Benutzers ändern, indem Sie den Kennworttyp im Bereich „Erweitert“ des Arbeitsgruppenmanagers ändern, wie in der folgenden Tabelle dargestellt. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern des Kennworttyps eines Benutzers“ auf Seite 123. Kennworttyp Berechtigung der Identifizierung Attribut im Benutzereintrag Open Directory Open Directory-Kennwortserver und Kerberos1 Eines oder beide: Â ;ApplePasswordServer; Â ;Kerberosv5; „Shadow“-Kennwort Kennwortdatei für jeden Benutzer, die nur für den root-BenutzerAccount lesbar ist Eines von beiden: Â ;ShadowHash;2 Â ;ShadowHash; „Crypt“-Kennwort Verschlüsseltes Kennwort im Benutzereintrag Eines von beiden: Â ;basic; Â kein Attribut Benutzer-Accounts unter Mac OS X Server 10.2 müssen zurückgesetzt werden, damit sie das Kerberos-Attribut zur Berechtigung der Identifizierung enthalten. Näheres hierzu finden Sie im Abschnitt „Aktivieren der KerberosIdentifizierung mit Gesamtauthentifizierung für einen Benutzer“ auf Seite 127. 2 Wenn das Attribut im Benutzereintrag „;ShadowHash;“ lautet (ohne eine Liste der aktivierten Identifizierungsmethoden), so werden standardmäßige Identifizierungsmethoden aktiviert. Die Liste der standardmäßigen Identifizierungsmethoden unterscheidet sich für Mac OS X Server und Mac OS X. 1 Das Attribut zur Berechtigung der Identifizierung kann mehrere Identifizierungsoptionen festlegen. Ein Benutzer-Account mit einem Open Directory-Kennworttyp besitzt im Normalfall ein Attribut zur Berechtigung der Identifizierung, das sowohl Kerberos als auch Open Directory-Kennwortserver angibt. Ein Benutzer-Account muss kein Attribut zur Berechtigung der Identifizierung enthalten. Wenn der Account eines Benutzers kein Attribut zur Berechtigung der Identifizierung enthält, nimmt Mac OS X Server an, dass ein „Crypt“-Kennwort im Account des Benutzers gespeichert ist. Beispielsweise enthalten Benutzer-Accounts, die unter Mac OS X 10.1 (oder neuer) erstellt wurden, ein „Crypt“-Kennwort, aber kein Attribut zur Berechtigung der Identifizierung. Kennwortrichtlinien Open Directory erzwingt die Kennwortrichtlinien für Benutzer, die den Kennworttyp „Open Directory“ oder „Shadow“ aufweisen. Zum Beispiel kann durch die Kennwortrichtlinie eines Benutzers ein Ablaufintervall für das Kennwort festgelegt werden. Wenn sich der Benutzer anmeldet und Open Directory feststellt, dass das Kennwort des Benutzers abgelaufen ist, muss der Benutzer das abgelaufene Kennwort ersetzen. Erst danach kann Open Directory den Benutzer identifizieren. Kapitel 3 Open Directory-Identifizierung 51 Durch Kennwortrichtlinien kann ein Benutzer-Account an einem bestimmten Datum, nach einer bestimmten Anzahl von Tagen, nach einem vorgegebenen Inaktivitätszeitraum oder nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche deaktiviert werden. Kennwortrichtlinien können auch vorsehen, dass Kennwörter eine minimale Länge aufweisen, mindestens einen Buchstaben oder mindestens eine Ziffer enthalten, sich vom Account-Namen bzw. von früheren Kennwörtern unterscheiden oder in regelmäßigen Zeitabständen geändert werden müssen. Die Kennwortrichtlinie für einen mobilen Benutzer-Account ist gültig unabhängig davon, ob der verwendete Account vom Netzwerk getrennt oder mit ihm verbunden ist. Die Kennwortrichtlinie eines mobilen Benutzer-Accounts wird für die Offline-Verwendung gespeichert. Weitere Informationen zu mobilen Benutzer-Accounts finden Sie im Handbuch Benutzerverwaltung. Kennwortrichtlinien haben keine Auswirkung auf Administrator-Accounts. Für Administratoren gelten keine Kennwortrichtlinien, weil sie die Richtlinien jederzeit ändern können. Außerdem könnte die Anwendung von Kennwortrichtlinien auf Administratoren diese dem Risiko von DoS-Angriffen (Denial-of-Service) aussetzen. Kerberos und Open Directory-Kennwortserver verwalten Kennwortrichtlinien getrennt. Ein Open Directory-Server synchronisiert die Regeln der Kerberos-Kennwortrichtlinie mit den Regeln der Kennwortrichtlinie des Open Directory-Kennwortservers. Gesamtauthentifizierung Mac OS X Server verwendet Kerberos für die Gesamtauthentifizierung (Single Sign-On), sodass die Benutzer nicht mehr für jeden Dienst einzeln einen Benutzernamen und ein Kennwort eingeben müssen. Bei einer Gesamtauthentifizierung gibt ein Benutzer immer einen Namen und ein Kennwort im Anmeldefenster ein. Danach ist für den Benutzer die Eingabe eines Benutzernamens und eines Kennworts für den AppleDateidienst, den Mail-Dienst oder andere Dienste, die die Kerberos-Identifizierung verwenden, nicht mehr erforderlich. Benutzer und Dienste, die die Gesamtauthentifizierung nutzen sollen, müssen kerberisiert (für die Kerberos-Identifizierung konfiguriert) sein und denselben Kerberos-KDCServer verwenden. Benutzer-Accounts, die sich in einem LDAP-Verzeichnis von Mac OS X Server befinden und den Kennworttyp „Open Directory“ haben, verwenden das integrierte KDC des Servers. Diese Benutzer-Accounts werden automatisch für Kerberos und die Gesamtauthentifizierung konfiguriert. Die kerberisierten Dienste des Servers verwenden den integrierten KDC des Servers und sind für die Gesamtauthentifizierung konfiguriert. Dieses Mac OS X Server-KDC kann auch Benutzer für von anderen Servern bereitgestellte Dienste identifizieren. Liegen mehrere Server Mac OS X Server vor, erfordert der Mac OS X Server-KDC nur eine minimale Konfiguration. 52 Kapitel 3 Open Directory-Identifizierung Kerberos-Identifizierung Kerberos wurde am MIT entwickelt, um eine sichere Identifizierung und Kommunikation über offene Netzwerke wie das Internet zu ermöglichen. Es wurde nach dem dreiköpfigen Hund benannt, der in der griechischen Mythologie den Eingang zur Unterwelt bewachte. Kerberos liefert zwei Parteien einen Identitätsnachweis. Sie können damit Netzwerkdiensten, die Sie verwenden möchten, Ihre Identität nachweisen. Außerdem wird Ihren Programmen bestätigt, dass die Netzwerkdienste echt sind und nicht manipuliert. Wie andere Identifikationssysteme auch stellt Kerberos keine Autorisierung bereit. Jeder Netzwerkdienst bestimmt anhand Ihrer nachgewiesenen Identität, welche Aktionen Sie ausführen dürfen. Mit Kerberos können ein Client und ein Server sich gegenseitig wesentlich sicherer identifizieren als mit den herkömmlichen Identifizierungsmethoden mit Antwort-Anforderung. Kerberos stellt auch eine Umgebung für die Gesamtauthentifizierung bereit, in der sich Benutzer nur einmal am Tag, einmal in der Woche oder einmal in einem bestimmten Zeitraum identifizieren müssen. Dies senkt die Identifizierungshäufigkeit. Mac OS X Server bietet eine integrierte Kerberos-Unterstützung, die mühelos umgesetzt werden kann. Die Kerberos-Umsetzung verläuft vollkommen automatisch, sodass Benutzer und Administratoren dies möglicherweise gar nicht bemerken. Mac OS X 10.3 (und neuer) verwendet automatisch Kerberos, wenn sich ein Benutzer über einen Account anmeldet, der für die Open Directory-Identifizierung konfiguriert ist. Es ist die Standardeinstellung für Benutzer-Accounts im Mac OS X Server-LDAPVerzeichnis. Andere vom LDAP-Verzeichnisserver bereitgestellte Dienste wie AFP- und Mail-Dienst verwenden Kerberos ebenfalls automatisch. Wenn sich in Ihrem Netzwerk weitere Server mit Mac OS X Server 10.5 befinden, können diese dem Kerberos-Server leicht hinzugefügt werden, und die meisten zugehörigen Dienste verwenden Kerberos automatisch. Wenn Ihr Netzwerk über ein Kerberos-System wie z. B. Microsoft Active Directory verfügt, können Sie Ihre Mac OS X Server- und Mac OS X-Computer alternativ so konfigurieren, dass sie dieses Kerberos-System für die Identifizierung verwenden. Mac OS X Server und Mac OS X 10.3 (oder neuer) unterstützen Kerberos 5. Mac OS X Server und Mac OS X 10.5 bieten keine Unterstützung für Kerberos 4. Kapitel 3 Open Directory-Identifizierung 53 Beseitigen von Schwierigkeiten bei der Kerberos-Implementierung Bis vor Kurzem war Kerberos hauptsächlich eine Technologie für Universitäten und Behörden. Einer weiteren Verbreitung der Technologie standen Schwierigkeiten bei der Übernahme entgegen, die zuerst beseitigt werden mussten. Mit Mac OS X und Mac OS X Server 10.3 (oder neuer) wurden die folgenden Schwierigkeiten für den Einsatz von Kerberos ausgeräumt: Â Administratoren mussten einen Kerberos-KDC einrichten, dessen Implementierung und Verwaltung aufwändig war. Â Es gab keine Standardintegration mit einem Verzeichnissystem. Kerberos dient nur der Identifizierung. Das Speichern von Benutzer-Account-Daten wie z. B. BenutzerID (UID), Speicherort des Benutzerordners oder Gruppenmitgliedschaft wird von Kerberos nicht übernommen. Der Administrator musste entscheiden, wie Kerberos in ein Verzeichnissystem integriert werden sollte. Â Server mussten im Kerberos-KDC registriert werden. Dadurch wurde der Konfigurationsprozess des Servers noch arbeitsintensiver. Â Nach dem Einrichten eines Kerberos-Servers musste der Administrator zu allen ClientComputern wechseln und jeden von ihnen einzeln für die Verwendung von Kerberos konfigurieren. Dieses Verfahren war zeitaufwändig und erforderte die Bearbeitung von Konfigurationsdateien und die Verwendung von Befehlszeilenprogrammen. Â Ein Paket mit Kerberos-orientierten Programmen (Server- und Client-Software) war erforderlich. Einige Standardkomponenten waren verfügbar, sie zu portieren und an die jeweilige Umgebung anzupassen, war jedoch schwierig. Â Nicht alle für die Client-Server-Identifizierung verwendeten Netzwerkprotokolle sind Kerberos-fähig. Einige Netzwerkprotokolle erfordern noch herkömmliche Identifizierungsmethoden mit Antwort-Anforderung. Außerdem gibt es keine standardmäßige Vorgehensweise für die Integration von Kerberos mit diesen vorhandenen Netzwerk-Identifizierungsmethoden. Â Ein Kerberos-Client unterstützt die Ausfallumschaltung (Failover). Wenn ein KDC offline ist, kann also eine Replik verwendet werden, allerdings musste der Administrator herausfinden, wie eine Kerberos-Replik konfiguriert werden konnte. Â Verwaltungswerkzeuge wurden nie integriert. Werkzeuge für das Erstellen und Bearbeiten von Benutzer-Accounts in der Verzeichnis-Domain waren nicht mit Kerberos kompatibel und die Kerberos-Werkzeuge waren nicht auf BenutzerAccounts in Verzeichnissen ausgelegt. Das Einrichten eines Benutzereintrags war ein Standort-spezifischer Vorgang, der durch die Integration des KDC mit dem Verzeichnissystem bestimmt wurde. 54 Kapitel 3 Open Directory-Identifizierung Ablauf der Gesamtauthentifizierung Bei Kerberos handelt es sich um ein auf Zertifikaten oder Tickets basierendes System. Der Benutzer meldet sich einmal beim Kerberos-System an und erhält ein Ticket mit einer bestimmen Lebensdauer. Während der Lebensdauer dieses Tickets muss sich der Benutzer nicht erneut identifizieren, um auf einen kerberisierten Dienst zuzugreifen. Die kerberisierte Client-Software des Benutzers, etwa das Mac OS X-Programm „Mail“, stellt ein gültiges Kerberos-Ticket bereit, um den Benutzer für einen kerberisierten Dienst zu identifizieren. Daher spricht man hier von einer Gesamtauthentifizierung (Single Sign-On). Ein Kerberos-Ticket ist vergleichbar mit einem Presseausweis für ein Jazzfestival, das während eines langen Wochenendes in verschiedenen Nachtclubs stattfindet. Sie weisen Ihre Identität einmal nach, um den Ausweis zu erhalten. Bis der Ausweis abläuft, können Sie ihn bei jedem Nachtclub vorzeigen, um eine Eintrittskarte für eine Vorführung zu erhalten. Alle teilnehmenden Nachtclubs akzeptieren Ihren Ausweis, ohne Ihre Identität erneut zu prüfen. Sichere Identifizierung Das Internet ist von Natur aus nicht sicher, und nur wenige Identifizierungsprotokolle bieten echte Sicherheit. Angreifer können mithilfe von leicht erhältlichen Softwareprogrammen Kennwörter abfangen, die über ein Netzwerk gesendet werden. Zahlreiche Programme senden Kennwörter in unverschlüsselter Form. Solche Kennwörter können sofort nach dem Abfangen verwendet werden. Sogar verschlüsselte Kennwörter bieten keine vollständige Sicherheit. Mit ausreichend Zeit und Rechenleistung können auch verschlüsselte Kennwörter geknackt werden. Zum Abschirmen der Kennwörter in Ihrem privaten Netzwerk können Sie eine Firewall verwenden. Alle Probleme lassen sich auf diese Weise aber nicht lösen. Beispielsweise bietet eine Firewall keinen Schutz vor böswilligem oder unberechtigtem Zugriff von Benutzern innerhalb des Netzwerks. Kerberos ist auf das Lösen von Sicherheitsproblemen in Netzwerken ausgelegt. Kerberos überträgt das Kennwort des Benutzers nie über das Netzwerk und speichert es auch nicht im Arbeitsspeicher oder auf der Festplatte des Computers des Benutzers. Daher erfährt ein unbefugter Benutzer das ursprüngliche Kennwort nicht, selbst wenn die Kerberos-Zertifikate geknackt wurden oder gefährdet sind. Der unbefugte Benutzer kann so höchstens auf einen kleinen Teil des Netzwerks zugreifen. Kerberos bietet nicht nur eine leistungsstarke Kennwortverwaltung, sondern auch eine beidseitige Identifizierung. Der Client identifiziert sich gegenüber dem Dienst und der Dienst gegenüber dem Client. Ein Angriff durch verratene oder ausspionierte Kennwörter ist bei der Verwendung von Kerberos-Diensten nicht möglich. Daher können Benutzer den Diensten vertrauen, auf die sie zugreifen. Kapitel 3 Open Directory-Identifizierung 55 Zusätzliche Möglichkeiten neben Kennwörtern Die Netzwerkidentifizierung ist schwierig: Zum Implementieren einer Netzwerkidentifizierungsmethode müssen der Client und der Server sich auf eine Identifizierungsmethode einigen. Zwar können sich Client- und Serverprozesse auf eine gemeinsame Identifizierungsmethode einigen. Eine durchgehende Übernahme dieser Methode durch eine größere Anzahl von Netzwerkprotokollen, Plattformen und Clients ist jedoch praktisch unmöglich. Angenommen, Sie möchten Smart Cards als Identifizierungsmethode für das Netzwerk verwenden. Ohne Kerberos müssten Sie jedes einzelne Client-/Serverprotokoll ändern, damit die neue Methode unterstützt wird. Die Liste umfasst die folgenden Protokolle: SMTP, POP, IMAP, AFP, SMB, HTTP, FTP, IPP, SSH, QuickTime Streaming, DNS, LDAP, lokale Verzeichnis-Domain, RPC, NFS, AFS, WebDAV, LPR und viele mehr. In Anbetracht der großen Anzahl der Softwareprogramme, die eine Identifizierung im Netzwerk ausführen, wäre das Umsetzen einer neuen Identifizierungsmethode für alle Netzwerkprotokolle eine gewaltige Aufgabe. Für die Software eines einzelnen Anbieters mag dies noch möglich sein. Es ist jedoch unwahrscheinlich, dass Sie alle Anbieter dazu bewegen können, ihre Client-Software auf die Verwendung Ihrer neuen Methode umzustellen. Darüber hinaus soll Ihre Identifizierung auf mehreren Plattformen korrekt arbeiten (z. B. auf Mac OS X, Windows und UNIX). Kerberos ist so konzipiert, dass ein Client-/Server(binär)protokoll, das Kerberos unterstützt, nicht einmal weiß, wie der Benutzer seine Identität nachweist. Aus diesem Grund müssen Sie nur den Kerberos-Client und den Kerberos-Server so bearbeiten, dass sie einen neuen Identitätsnachweis akzeptieren, wie z. B. eine Smart Card. Als Ergebnis übernimmt Ihr gesamtes Kerberos-Netzwerk die neue Methode zum Identitätsnachweis, ohne neue Versionen von Client- und Serversoftware zu implementieren. Identifizierung auf mehreren Plattformen Kerberos ist auf allen wichtigen Plattformen verfügbar, einschließlich Mac OS X, Windows, Linux und anderer UNIX-Varianten. Zentrale Identifizierung Kerberos stellt eine zentrale Instanz für die Identifizierung im Netzwerk bereit. Alle Kerberos-fähigen Dienste und Clients verwenden diese zentrale Instanz. Die Administratoren können die Richtlinien und Vorgänge der Identifizierung zentral prüfen und steuern. 56 Kapitel 3 Open Directory-Identifizierung Kerberos-orientierte Dienste Kerberos kann Benutzer für die folgenden Dienste von Mac OS X Server identifizieren: Â Anmeldefenster Â Mail-Dienst Â AFP-Dateidienst Â FTP-Dateidienst Â SMB-Dateidienst (als Mitglied eines Active Directory-Kerberos-Realms) Â VPN-Dienst Â Apache-Webdienst Â LDAP-Verzeichnisdienst Â iChat Â Druckdienst Â NFS-Dateidienst Â Xgrid Diese Dienste wurden kerberisiert, unabhängig davon, ob sie aktiv sind oder nicht. Nur Kerberos-orientierte Dienste können Kerberos verwenden, um einen Benutzer zu identifizieren. Mac OS X Server enthält Befehlszeilenprogramme für das Kerberisieren weiterer Dienste, die mit MIT-basiertem Kerberos kompatibel sind. Weitere Informationen hierzu finden Sie im Kapitel zu Open Directory im Handbuch Command-Line Administration. Konfigurieren von Diensten für Kerberos nach einer Aktualisierung Nach der Aktualisierung auf Mac OS X Server 10.5 müssen Sie möglicherweise einige Dienste für die Verwendung der Kerberos-Gesamtauthentifizierung konfigurieren. Diese Dienste waren für die Verwendung von Kerberos nicht konfiguriert oder in der früheren Version von Mac OS X Server nicht enthalten. Liegt diese Bedingung vor, wird eine entsprechende Nachricht angezeigt, wenn Sie im Programm „Server-Admin“ eine Verbindung zum Server herstellen. Die Nachricht wird im Bereich „Übersicht“ angezeigt, wenn Sie den Server (keinen Dienst) in der Liste der Server auswählen. Kapitel 3 Open Directory-Identifizierung 57 Gehen Sie wie folgt vor, um neue und aktualisierte Dienste für die Verwendung von Kerberos zu konfigurieren: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum aktualisierten Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 5 Klicken Sie auf „Kerberos-Eintrag hinzufügen“ und geben Sie dann den Namen und das Kennwort eines Administrator-Accounts für LDAP-Verzeichnisse ein. Dies wirkt sich nicht auf Dienste aus, die bereits für die Verwendung von Kerberos konfiguriert wurden. Kerberos-Prinzipale und Realms (Bereiche) Kerberisierte Dienste sind für die Identifizierung von Prinzipalen konfiguriert, die einem bestimmten Kerberos-Realm bekannt sind. Sie können sich einen Realm als eine bestimmte Kerberos-Datenbank oder -Domain zur Identifizierung vorstellen, die Überprüfungsdaten für Benutzer, Dienste und manchmal Server enthält, die allesamt als Prinzipale bezeichnet werden. Zum Beispiel enthält ein Realm die geheimen Schlüssel der Prinzipale, die das Ergebnis einer auf Kennwörter angewendeten unidirektionalen Funktion sind. Diensteprinzipale basieren gewöhnlich eher auf nach dem Zufallsprinzip generierten Verschlüsselungen (Zertifikate, Schlüssel) als auf Kennwörtern. Es folgen Beispiele für Realm- und Prinzipalnamen. Realm-Namen haben konventionsgemäß eine durchgängige Großschreibung, um sie von DNS-Domain-Namen zu unterscheiden: Â Bereich: MYREALM.EXAMPLE.COM Â Benutzerprinzipal: Â Server-Prinzipal: afpserver/ Ablauf der Kerberos-Identifizierung Die Identifizierung mit Kerberos verläuft in mehreren Phasen. In der ersten Phase erhält der Client Zertifikate, mit deren Hilfe er den Zugriff auf die kerberisierten Dienste anfordern kann. In der zweiten Phase fordert der Client eine Identifizierung für einen bestimmten Dienst an. In der letzten Phase legt der Client dem Dienst die Zertifikate vor. 58 Kapitel 3 Open Directory-Identifizierung In der folgenden Abbildung werden die genannten Aktivitäten dargestellt. Der Dienst und der Client können dieselbe Entität sein (z. B. das Anmeldefenster) oder in verschiedenen Entitäten vorliegen (z. B. als Mail-Client und als Mail-Server). 4 6 Key Distribution Center (KDC) Kerberisierter Dienst 2 3 Client 1 5 1 Der Client identifiziert sich bei einem Kerberos-KDC, der mit Realms kommuniziert, um auf Identifizierungsdaten zuzugreifen. Dies ist der einzige Schritt, in dem Kennwörter und zugeordnete Informationen von Kennwortrichtlinien geprüft werden. 2 Der KDC gibt an den Client ein Ticket für die Ticketverteilung aus. Dieses Ticket ist das Zertifikat, das der Client zur Verwendung kerberisierter Dienste benötigt. Es ist für eine konfigurierbare Zeitdauer gültig, kann jedoch vor Ablauf entzogen werden. Er wird so lange auf dem Client gespeichert, bis seine Gültigkeit abgelaufen ist. 3 Der Client kontaktiert den KDC mit dem Ticket für die Ticketverteilung, wenn ein kerberisierter Dienst verwendet werden soll. 4 Das KDC seinerseits stellt ein Ticket für den betreffenden Dienst aus. 5 Der Client legt dieses Ticket dem Dienst vor. 6 Der Server identifiziert den Client durch eine Überprüfung der Gültigkeit des Tickets. Nach der Identifikation des Clients bestimmt der Dienst, ob der Client zur Verwendung des Diensts berechtigt ist. Kerberos führt nur die Identifizierung für Clients durch. Die Berechtigung zur Verwendung von Diensten wird dagegen nicht geprüft. Beispielsweise verwenden viele Dienste SACLs (Service Access Control Lists – Zugriffssteuerungslisten für Dienste) von Mac OS X Server, um festzustellen, ob ein Client zur Verwendung des Diensts berechtigt ist. Kerberos sendet niemals Informationen zu Kennwörtern oder Kennwortrichtlinien an einen Dienst. Nachdem Erhalt eines Tickets für die Ticketverteilung werden keine Kennwortinformationen bereitgestellt. Die Uhrzeit ist bei Kerberos sehr wichtig. Wenn beim Client und beim KDC die Zeitangaben um mehrere Minuten voneinander abweichen, kann der Client keine Identifizierung beim KDC durchführen. Die Informationen zu Datum, Uhrzeit und Zeitzone müssen auf dem KDC-Server und den Clients korrekt sein, und der Server und die Clients müssen alle denselben Netzwerkzeitdienst verwenden, um Ihre Uhren synchron zu halten. Weitere Informationen zu Kerberos finden Sie auf der MIT-Kerberos-Website unter web.mit.edu/kerberos/www/index.html. Kapitel 3 Open Directory-Identifizierung 59 Identifizierungsmethoden von Open Directory-Kennwortserver und „Shadow“-Kennwörtern Zur Herstellung der Kompatibilität mit verschiedenen Diensten kann Mac OS X Server mehrere Identifizierungsmethoden verwenden, um Open Directory-Kennwörter und „Shadow“-Kennwörter zu prüfen. Für Open Directory-Kennwörter verwendet Mac OS X Server das Standardverfahren SASL (Simple Authentication and Security Layer), um eine Identifizierungsmethode zwischen einem Client und einem Dienst auszuhandeln. Bei „Shadow“-Kennwörtern hängt die Verwendung von SASL vom Netzwerkprotokoll ab. Die folgenden Identifizierungsmethoden werden unterstützt: Methode Netzwerksicherheit Speichersicherheit Verwendung APOP Verschlüsselt, mit Sicherung in unverschlüsselter Form Unverschlüsselt POP-Mail-Dienst CRAM-MD5 Verschlüsselt, mit Sicherung in unverschlüsselter Form Verschlüsselt IMAP-Mail-Dienst, LDAP-Dienst DHX Verschlüsselt Verschlüsselt AFP-Dateidienst, Open Directory-Verwaltung Digest-MD5 Verschlüsselt Verschlüsselt Anmeldefenster, Mail-Dienst MS-CHAPv2 Verschlüsselt Verschlüsselt VPN-Dienst NTLMv1 und NTLMv2 Verschlüsselt Verschlüsselt SMB-Dienste (Windows NT/98 oder neuer) LAN-Manager Verschlüsselt Verschlüsselt SMB-Dienste (Windows 95) WebDAV-Digest Verschlüsselt Unverschlüsselt WebDAV-Dateidienst (iDisk) Open Directory unterstützt viele Identifizierungsmethoden, weil alle Dienste, für die eine Identifizierung erforderlich ist, verschiedene Methoden verwenden. Beispielsweise verwendet der Dateidienst eine bestimmte Gruppe von Identifizierungsmethoden, während der Webdienst eine andere Gruppe von Methoden verwendet und der Mail-Dienst wiederum eine andere Gruppe nutzt usw. Bestimmte Methoden zur Identifizierung sind sicherer als andere. Die sichereren Methoden verwenden leistungsfähigere Algorithmen zum Verschlüsseln der Informationen, die sie zwischen Client und Server übertragen. Die sichereren Identifizierungsmethoden speichern außerdem Prüfsummen, die nicht leicht vom Server wiederhergestellt werden können. Weniger sichere Methoden speichern ein wiederherstellbares, unverschlüsseltes Kennwort. 60 Kapitel 3 Open Directory-Identifizierung Kein Benutzer, auch kein Administrator oder root-Benutzer, kann verschlüsselte Kennwörter wiederherstellen, indem er sie aus der Datenbank liest. Ein Administrator kann den Arbeitsgruppenmanager verwenden, um ein Kennwort für einen Benutzer festzulegen, aber er kann das Kennwort eines Benutzers nicht lesen. Wenn Sie Mac OS X Server 10.4 (oder neuer) mit einer Verzeichnis-Domain von Mac OS X Server 10.3 (oder älter) verbinden, können Benutzer, die in der älteren Verzeichnis-Domain definiert wurden, nicht mit der Methode „NTLMv2“ identifiziert werden. Diese Methode kann erforderlich sein, um einige Windows-Benutzer sicher für die Windows-Dienste von Mac OS X Server 10.4 (oder neuer) zu identifizieren. Der Open Directory-Kennwortserver in Mac OS X Server 10.4 (oder neuer) unterstützt die NTLMv2-Identifizierung, NTLMv2 wird vom Kennwortserver in Mac OS X Server 10.3 (oder älter) jedoch nicht unterstützt. Wenn Sie Mac OS X Server 10.3 (oder neuer) mit einer Verzeichnis-Domain von Mac OS X Server 10.2 (oder älter) verbinden, können Benutzer, die in der älteren Verzeichnis-Domain definiert wurden, nicht mit der Methode „MS-CHAPv2“ identifiziert werden. Diese Methode kann erforderlich sein, um Benutzer sicher für den VPN-Dienst von Mac OS X Server 10.3 (oder neuer) zu identifizieren. Der Open Directory-Kennwortserver in Mac OS X Server 10.3 (oder neuer) unterstützt die MS-CHAPv2-Identifizierung, MS-CHAPv2 wird vom Kennwortserver in Mac OS X Server 10.2 jedoch nicht unterstützt. Deaktivieren von Identifizierungsmethoden von Open Directory Sie können Identifizierungsmethoden wahlweise deaktivieren, um das Speichern von Open Directory-Kennwörtern auf dem Server sicherer zu machen. Wenn beispielsweise keiner der Clients Windows-Dienste verwendet, können Sie die Identifizierungsmethoden „NTLMv1“, „NTLMv2“ und „LAN-Manager“ deaktivieren, um das Speichern von Kennwörtern auf dem Server mithilfe dieser Methoden zu unterbinden. Sollte also ein Benutzer unbefugt Zugriff auf die Kennwortdatenbank des Servers erlangen, kann er keine Schwächen in diesen Identifizierungsmethoden ausnutzen, um Kennwörter zu knacken. Wichtig: Wenn Sie eine Identifizierungsmethode deaktivieren, wird die zugehörige Prüfsumme bei der nächsten Identifizierung des Benutzers aus der Kennwortdatenbank entfernt. Wenn Sie eine bisher deaktivierte Identifizierungsmethode aktivieren, muss jedes Open Directory-Kennwort zurückgesetzt werden, damit die Prüfsumme der neu aktivierten Methode zur Kennwortdatenbank hinzugefügt wird. Benutzer können ihre Kennwörter selbst zurücksetzen, dies kann aber auch ein Verzeichnisadministrator übernehmen. Kapitel 3 Open Directory-Identifizierung 61 Durch das Deaktivieren einer Identifizierungsmethode wird die Datenbank des Open Directory-Kennwortservers sicherer für den Fall, dass ein unbefugter Benutzer physisch Zugriff auf einen Open Directory-Server (Master oder Replik) oder auf Medien erhält, die eine Sicherheitskopie des Open Directory-Masters enthalten. Unbefugte Benutzer könnten versuchen, das Kennwort eines Benutzers durch Angriffe auf die Prüfsumme oder wiederherstellbaren Text zu knacken, die bzw. der von einer Identifizierungsmethode in der Kennwort-Datenbank abgelegt wurde. Eine deaktivierte Identifizierungsmethode speichert nichts in der Kennwortdatenbank und ist somit ein Einfallstor weniger für einen unbefugten Benutzer, der physisch Zugriff auf den Open Directory-Server oder auf eine entsprechende Sicherungskopie erlangt hat. Einige in der Kennwortdatenbank gespeicherte Prüfsummen sind leichter zu knacken als andere. Wiederherstellbare Identifizierungsmethoden speichern reinen (direkt lesbaren) Text. Durch das Deaktivieren von in reinem Text speichernden Identifizierungsmethoden oder von weniger leistungsstarken Prüfsummen wird die Sicherheit einer Kennwortdatenbank mehr erhöht als durch das Deaktivieren von Methoden, die leistungsstärkere Prüfsummen speichern. Wenn Sie überzeugt sind, dass Ihr Open Directory-Master und die entsprechenden Repliken und Sicherungskopien sicher sind, können Sie alle Identifizierungsmethoden auswählen. Wenn Sie nicht sicher sind, ob bestimmte Open Directory-Server oder zugehörige Sicherungsmedien physisch sicher sind, deaktivieren Sie einige Methoden. Hinweis: Durch das Deaktivieren von Identifizierungsmethoden wird die Sicherheit von Kennwörtern bei der Übertragung über das Netzwerk nicht erhöht. Dies hat nur Auswirkungen auf die Sicherheit der Kennwortdatenbank. Werden bestimmte Identifizierungsmethoden deaktiviert, so müssen einige Clients u. U. sogar ihre Software für das Senden von unverschlüsselten Kennwörtern über das Netzwerk konfigurieren. Dadurch wird die Kennwortsicherheit dann auf eine andere Weise eingeschränkt. Deaktivieren von Identifizierungsmethoden mit „Shadow“-Kennwörtern Sie können Identifizierungsmethoden einzeln deaktivieren, um in „Shadow“-Kennwortdateien gespeicherte Kennwörter sicherer zu machen. Wenn ein Benutzer z. B. den Mailoder Webdienst nicht verwendet, können Sie die WebDAV-Digest- und APOP-Methoden für den Benutzer deaktivieren. Dann kann ein unbefugter Benutzer, der Zugriff auf die „Shadow“-Kennwortdateien auf einem Server erlangt, das Kennwort des Benutzers nicht wiederherstellen. 62 Kapitel 3 Open Directory-Identifizierung Wichtig: Wenn Sie eine Identifizierungsmethode für „Shadow“-Kennwörter deaktivieren, wird die zugehörige Prüfsumme bei der nächsten Identifizierung des Benutzers aus der „Shadow“-Kennwortdatenbank entfernt. Wenn Sie eine bisher deaktivierte Identifizierungsmethode aktivieren, wird die Prüfsumme der erneut aktivierten Methode der „Shadow“-Kennwortdatei des Benutzers hinzugefügt, wenn er sich das nächste Mal für einen Dienst identifiziert, der Kennwörter in reiner Textform verwenden kann, wie z. B. das Anmeldefenster oder AFP. Alternativ können Sie das Kennwort des Benutzers zurücksetzen, damit die Prüfsumme der neu aktivierten Methode hinzugefügt wird. Das Kennwort kann vom Benutzer oder einem Verzeichnisadministrator zurückgesetzt werden. Durch das Deaktivieren einer Identifizierungsmethode werden „Shadow“-Kennwörter sicherer für den Fall, dass ein unbefugter Benutzer physisch Zugriff auf die „Shadow“Kennwortdateien eines Servers oder auf Medien erlangt, die eine Sicherungskopie der „Shadow“-Kennwortdateien enthalten. Unbefugte Benutzer mit Zugriff auf die Kennwortdateien könnten versuchen, das Kennwort eines Benutzers durch Angriffe auf die Prüfsumme oder wiederherstellbaren Text zu knacken, die bzw. der von einer Identifizierungsmethode gespeichert wurde. Eine deaktivierte Identifizierungsmethode speichert nichts und ist somit ein Einfallstor weniger für einen unbefugten Benutzer, der physisch Zugriff auf die „Shadow“-Kennwortdateien eines Servers oder auf eine entsprechende Sicherungskopie erlangt hat. Bei einigen Identifizierungsmethoden sind die gespeicherten Prüfsummen leichter zu knacken als bei anderen. Bei wiederherstellbaren Identifizierungsmethoden kann das ursprüngliche, in reinem Text erstellte Kennwort aus den in der Datei gespeicherten Daten wiederhergestellt werden. Durch das Deaktivieren von Identifizierungsmethoden, die wiederherstellbare oder weniger leistungsstarke Prüfsummen speichern, wird die Sicherheit von „Shadow“-Kennwortdateien mehr erhöht als durch das Deaktivieren von Methoden, die leistungsstärkere Prüfsummen speichern. Wenn Sie überzeugt sind, dass die „Shadow“-Kennwortdateien und Sicherungskopien eines Servers sicher sind, können Sie alle Identifizierungsmethoden auswählen. Wenn Sie nicht sicher sind, ob der Server oder die zugehörigen Sicherungsmedien an einem sicheren Ort unter Verschluss sind, deaktivieren Sie nicht verwendete Methoden. Hinweis: Durch das Deaktivieren von Identifizierungsmethoden wird die Sicherheit von Kennwörtern bei der Übertragung über das Netzwerk nicht erhöht. Dies hat lediglich Auswirkungen auf die Sicherheit der Kennwortspeicherung. Werden bestimmte Identifizierungsmethoden deaktiviert, so müssen einige Clients u. U. sogar ihre Software für das Senden von unverschlüsselten Kennwörtern über das Netzwerk konfigurieren. Dadurch wird die Kennwortsicherheit dann auf eine andere Weise eingeschränkt. Kapitel 3 Open Directory-Identifizierung 63 Inhalt der Datenbank des Open Directory-Kennwortservers Der Open Directory-Kennwortserver verwaltet eine Datenbank zur Identifizierung getrennt von der Verzeichnis-Domain. Open Directory schränkt den Zugriff auf die Datenbank für die Identifizierung stark ein. Der Open Directory-Kennwortserver sichert die folgenden Informationen für jeden Benutzer-Account, der den Kennworttyp „Open Directory“ aufweist, in der Datenbank zur Identifizierung. Â Die Kennwort-ID des Benutzers, ein 128-Bit-Wert, der beim Erstellen des Kennworts zugewiesen wird. Sie wird auch im Eintrag des Benutzers in der Verzeichnis-Domain gespeichert und als Schlüssel zum Suchen des Benutzereintrags in der Datenbank des Open Directory-Kennwortservers verwendet. Â Das Kennwort, gespeichert in wiederherstellbarer Form (unverschlüsselt) oder in Form einer Prüfsumme (verschlüsselt). Die Art der Speicherung hängt von der Methode zur Identifizierung ab. Für APOP und WebDAV wird ein wiederherstellbares Kennwort gespeichert. Für alle anderen Methoden wird im Eintrag für das Kennwort eine Prüfsumme (verschlüsselt) gespeichert. Wenn keine Methode zur Identifizierung aktiviert ist, die ein unverschlüsseltes Kennwort erfordert, werden in der Datenbank der Open Directory-Identifizierung nur Prüfsummen von Kennwörtern gespeichert. Â Den Kurznamen des Benutzers, zur Verwendung in Protokollmeldungen, die im Programm „Server-Admin“ angezeigt werden können. Â Daten der Kennwortrichtlinien Â Zeitmarken und andere Informationen über die Verwendung, z. B. der Zeitpunkt der letzten Anmeldung oder der letzten fehlgeschlagenen Bestätigung, die Summe der fehlgeschlagenen Bestätigungen und Replik-Informationen. Identifizierte LDAP-Verzeichnisbindung Für Benutzer-Accounts, die sich in einem LDAP-Verzeichnis auf einem nicht von Apple stammenden Server befinden, versucht Open Directory, eine identifizierte LDAP-Verzeichnisbindung zu verwenden. Open Directory sendet an den LDAP-Verzeichnisserver den Namen und das Kennwort, die vom zu identifizierenden Benutzer angegeben wurden. Wenn der LDAP-Server einen übereinstimmenden Benutzereintrag mit dem zugehörigen Kennwort findet, verläuft die Identifizierung erfolgreich. Wenn der LDAP-Verzeichnisdienst und die Verbindung des Client-Computers für das Senden von in reinem Text erstellten Kennwörtern über das Netzwerk konfiguriert sind, ist die identifizierte LDAP-Verzeichnisbindung möglicherweise nicht sicher. 64 Kapitel 3 Open Directory-Identifizierung Open Directory versucht, eine sichere Identifizierungsmethode mit dem LDAP-Verzeichnis zu verwenden. Wenn das Verzeichnis keine sichere identifizierte LDAP-Verzeichnisbindung unterstützt und die LDAPv3-Verbindung des Clients das Senden von Kennwörtern in reiner Textform erlaubt, kehrt Open Directory zur einfachen identifizierten LDAP-Verzeichnisbindung zurück. Wenn Sie die Identifizierung über reinen Text unterbinden wollen, stellen Sie sicher, dass Ihre LDAP-Server keine Kennwörter in reiner Textform akzeptieren. In diesem Fall können Sie die einfache identifizierte LDAP-Verzeichnisbindung sicherer machen, indem Sie für den Zugriff auf das LDAP-Verzeichnis das SSL-Protokoll (Secure Sockets Layer) festlegen. SSL macht den Zugriff sicher, indem die gesamte Kommunikation mit dem LDAP-Verzeichnis verschlüsselt wird. Weitere Informationen finden Sie in den Abschnitten „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf Seite 170 und „Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis“ auf Seite 169. Kapitel 3 Open Directory-Identifizierung 65 4 Programme zur Planung und Verwaltung von Open Directory 4 Dieses Kapitel stellt Richtlinien für die Planung von Open Directory-Diensten vor und beschreibt Werkzeuge zu ihrer Verwaltung. Wie die Leitungen und Drähte in einem Gebäude sollten auch die Verzeichnisdienste für ein Netzwerk sorgfältig im Voraus und nicht auf spontan geplant werden. Das Ablegen von Informationen in gemeinsam genutzten Verzeichnis-Domains gibt Ihnen eine bessere Kontrolle über Ihr Netzwerk, bietet einer größeren Zahl von Benutzern Zugriff auf die entsprechenden Informationen und vereinfacht die Verwaltung der Informationen. Der Umfang und die Bedienungsfreundlichkeit der Steuerungsmöglichkeiten hängt davon ab, wie sorgfältig Sie Ihre gemeinsam genutzten Domains planen. Ziel der Planung von Verzeichnis-Domains ist es, die einfachste Anordnung gemeinsam genutzter Domains zu erstellen, die Ihren Mac OS X-Benutzern den Zugriff auf benötigte Netzwerkressourcen erlaubt und die Zeit minimiert, die Sie für die Verwaltung von Benutzereinträgen und weiteren Verwaltungsdaten aufwenden müssen. 67 Allgemeine Richtlinien für die Planung Wenn Sie Benutzer- und Ressourceninformationen nicht für mehrere Mac OS X-Computer freigeben, ist der erforderliche Planungsaufwand für Verzeichnis-Domains sehr gering, weil der Zugriff auf alle Informationen über eine lokale Verzeichnis-Domain möglich ist. Stellen Sie jedoch sicher, dass alle Benutzer, die einen bestimmten Mac OS X-Computer verwenden, über Benutzer-Accounts auf diesem Computer verfügen. Diese BenutzerAccounts befinden sich in der lokalen Verzeichnis-Domain auf dem Computer. Zusätzlich müssen alle Benutzer, die den Dateidienst, den Mail-Dienst oder andere Dienste von Mac OS X Server benötigen, für die eine Identifizierung erforderlich ist, über einen Benutzer-Account in der lokalen Verzeichnis-Domain des Servers verfügen. Bei dieser Anordnung hat jeder Benutzer zwei Accounts, wie in der folgenden Abbildung gezeigt: einen für die Anmeldung am Computer und einen für den Zugriff auf Mac OS X Server-Dienste. Der Benutzer meldet sich an der lokalen VerzeichnisDomain des Mac OS X-Computers an und verwendet dann einen anderen Account für die Anmeldung an der lokalen Verzeichnis-Domain des Servers für Dateidienste. Anmelden bei Mac OS X Verbindung zu Mac OS X Server für Dateidienste Lokale VerzeichnisDomain Lokale VerzeichnisDomain Zum Freigeben von Informationen für Mac OS X-Computer und -Server müssen Sie mindestens eine gemeinsam genutzte Verzeichnis-Domain konfigurieren. Bei dieser Anordnung benötigt jeder Benutzer nur in der gemeinsam genutzten VerzeichnisDomain einen Account. Der Benutzer kann sich über diesen Account bei Mac OS X von jedem beliebigen Computer aus anmelden, der für den Zugriff auf die gemeinsam genutzte Verzeichnis-Domain konfiguriert ist. Außerdem kann der Benutzer über diesen Account auf Dienste beliebiger Mac OS X Server zugreifen, die für den Zugriff auf die gemeinsam genutzte Verzeichnis-Domain konfiguriert sind. 68 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Die folgende Abbildung zeigt eine Konfiguration mit einer gemeinsam genutzten Verzeichnis-Domain. Dargestellt ist ein Benutzer, der sich unter Verwendung eines Accounts für eine gemeinsam genutzte Verzeichnis-Domain an einem Mac OS XComputer anmeldet. Danach wird der Account für die gemeinsam genutzte Verzeichnis-Domain außerdem für den Zugriff auf einen Dateidienst verwendet. Wenn der Benutzer auf den Dateidienst zuzugreifen versucht, greift der Dateidiensteserver auf die gemeinsam genutzte Verzeichnis-Domain zu, um den Benutzer-Account zu prüfen. Da der Benutzercomputer und der Computer für Dateidienste mit der gemeinsam genutzten Verzeichnis-Domain verbunden sind, wird der Benutzer-Account in der gemeinsam genutzten Verzeichnis-Domain verwendet, um sowohl auf einen Computer als auch auf Dienste zuzugreifen, ohne dass auf jedem Computer ein lokaler Account vorliegen muss. Gemeinsam genutzte VerzeichnisDomain Anmelden bei Mac OS X Verbindung zu Mac OS X Server für Dateidienste Lokale VerzeichnisDomain Lokale VerzeichnisDomain In vielen Organisationen ist ein einzelne gemeinsam genutzte Verzeichnis-Domain angemessen. Sie kann Hunderttausende von Computern verwalten, die dieselben Ressourcen gemeinsam nutzen, etwa Druckerwartelisten, Netzwerkordner für Benutzerordner, Netzwerkordner für Programme und Netzwerkordner für Dokumente. Beim Replizieren der gemeinsam genutzten Verzeichnis-Domain kann die Kapazität bzw. die Leistung des Verzeichnissystems erhöht werden, indem Sie mehrere Server für die Handhabung der Verzeichnissystemauslastung für das Netzwerk konfigurieren. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 69 Für größere, komplexere Organisationen sind möglicherweise zusätzliche gemeinsam genutzte Verzeichnis-Domains von Nutzen. Die folgende Abbildung zeigt, wie die Verzeichnis-Domains in einer solchen komplexen Organisation angeordnet sein könnten. Windows-Server Lokale VerzeichnisDomain Gemeinsam genutzte VerzeichnisDomain Mac OS X Server Aktive VerzeichnisDomain Lokale VerzeichnisDomain Mac OS X-Benutzer Windows-Benutzer Wenn Sie eine große Organisation haben, in der Sie die Leistung und die Kapazität Ihrer Netzwerk-Verzeichnis-Domain erhöhen wollen, können Sie Ihrem Netzwerk mehrere Verzeichnis-Domains hinzufügen. Durch Hinzufügen mehrerer Verzeichnis-Domains können Sie außerdem die Last Ihrer Unternehmens-Verzeichnis-Domain verteilen. Es gibt verschiedene Methoden zum Konfigurieren mehrerer Verzeichnis-Domains. Durch eine Analyse Ihrer Netzwerktopologie können Sie die beste Methode für Ihr Netzwerk ermitteln. Die folgenden Konfigurationen für mehrere Verzeichnis-Domains sind optional: Â Open Directory mit einer zuvor vorhandenen Domain. Sie können einen Mac OS XOpen Directory-Server in einem Netzwerk konfigurieren, das eine zuvor vorhandene Verzeichnis-Domain hat, etwa eine Active Directory-Domain oder eine Open Directory-Domain. Wenn Ihre Organisation beispielsweise einen zuvor vorhandenen Active DirectoryServer verwendet, der Windows- und Mac OS X-Client-Computer unterstützt, können Sie einen Mac OS X-Open Directory-Server hinzufügen, um eine bessere Unterstützung für Ihre Mac-Benutzer zu erzielen. Die zwei Server können sich in demselben Netzwerk befinden und redundante Verzeichnis-Domains für Windows- und Mac OS X-Clients bereitstellen. Sie können Mac OS X Server auch für die Verwaltung einer Domain-übergreifenden Identifizierung verwenden, wenn ein Kerberos-Realm vorhanden ist. Wenn Sie Ihren Mac OS X-Server mit der Arbeitsgruppenkonfiguration konfigurieren, können Sie ihn Ihrer bereits vorhandenen Verzeichnis-Domain leicht hinzufügen. Mit der Arbeitsgruppenkonfiguration von Mac OS X können Sie Benutzer aus Ihrer bereits vorhandenen Verzeichnis-Domain ganz einfach auf Ihren Arbeitsgruppenserver importieren. 70 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Weitere Informationen zu importierten Benutzern und Arbeitsgruppen bzw. zur Standardkonfiguration von Mac OS X-Servern finden Sie in den Handbüchern Einführung und Benutzerverwaltung. Â Open Directory-Master-Server mit Repliken. Sie können auch einen Mac OS X-Open Directory-Master-Server mit Repliken erstellen. Die Replikserver haben eine Kopie der Verzeichnis-Domain des Open Directory-Masters für Lastverteilung und Redundanz. Â Beispielsweise kann Ihre Organisation einen Open Directory-Master an Ihrem Hauptsitz eingerichtet haben und Repliken dieses Servers an allen entfernten Standorten platzieren. Auf diese Weise verhindern Sie, dass es bei Benutzern an entfernten Standorten zu Verzögerungen bei der Anmeldung kommt. Â Kaskadierende Replikation. Sie können auch die kaskadierende Replikation verwenden, bei der Repliken eines Open Directory-Masters über Repliken verfügen. Wenn eine Replik ein direktes Mitglied des Open Directory-Masters ist und über Repliken verfügt, wird sie als Relais bezeichnet. Wenn Ihre Organisation beispielsweise 32 Repliken einsetzt und Sie eine weitere Replik hinzufügen müssen, können Sie Ihre Netzwerktopologie neu anordnen und Ihre Repliken in Relais umwandeln, indem Sie einer Replik (bzw. einem Relais) Repliken hinzufügen. Die kaskadierende Replikation führt zu einer Lastverteilung für den Open DirectoryMaster, indem sie die Anzahl der direkt zu verwaltenden Repliken minimiert. Abschätzen der Anforderungen für Verzeichnisse und Identifizierung Sie müssen nicht nur berücksichtigen, wie Sie Verzeichnisdaten auf mehrere Domains verteilen wollen, sondern auch, welche Kapazität eine jede Verzeichnis-Domain besitzt. Die Größe Ihrer Verzeichnis-Domain hängt von Ihren Netzwerkanforderungen ab. Ein Faktor ist die Leistung der Datenbank, die die Verzeichnisinformationen speichert. Die LDAP-Verzeichnis-Domain von Mac OS X Server verwendet die Berkeley DB-Datenbank, die mit bis zu 200.000 Einträgen effizient arbeitet. Ein Server, der einer Verzeichnis-Domain dieser Größe bereitstellt, muss über ausreichend Festplattenspeicher für alle Einträge verfügen. Die Anzahl der Verbindungen, die ein Verzeichnisdienst verwalten kann, ist schwieriger zu ermitteln, weil Verzeichnisdienstverbindungen im Zusammenhang mit den Verbindungen aller Dienste auftreten, die der Server bereitstellt. Bei Mac OS X Server besteht für einen dedizierten Open Directory-Server eine Obergrenze von 1000 simultanen Client-Computerverbindungen. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 71 Der Open Directory-Server kann LDAP- und Identifizierungsdienste einer größeren Anzahl von Client-Computern zur Verfügung stellen, weil nicht alle Computer diese Dienste zur gleichen Zeit benötigen. Jeder Computer verbindet sich für bis zu zwei Minuten mit dem LDAP-Verzeichnis, während Verbindungen zum Open DirectoryKennwortserver sogar noch kürzer sind. Es kann schwierig sein zu bestimmen, welcher Prozentsatz der Computer gleichzeitig eine Verbindung herstellen wird. Computer beispielsweise, an denen jeweils ein einziger Benutzer den ganzen Tag an Grafikdateien arbeitet, benötigen Open Directory-Dienste relativ selten. Im Gegensatz dazu melden sich an Computern in einem Computertestraum den ganzen Tag über viele Benutzer an, jeder mit einem anderen Satz Einstellungen für verwaltete Clients. Diese Computer führen zu einer relativ hohen Auslastung der Open Directory-Dienste. Im Allgemeinen können Sie die Open Directory-Nutzung mit Anmeldung und Abmeldung korrelieren. Diese Aktivitäten sind im Allgemeinen in allen Systemen bei den Verzeichnis- und Identifizierungsdiensten vorherrschend. Je häufiger sich Benutzer anmelden und abmelden, desto weniger Computer kann ein Open Directory-Server (oder ein Verzeichnis- und Identifizierungsserver) unterstützen. Sie benötigen eine größere Anzahl von Open Directory-Servern, wenn sich Benutzer häufig anmelden. Mit einer geringeren Zahl von Open Directory-Servern können Sie auskommen, wenn die Arbeitssitzungen lange dauern und Anmeldungen selten vorkommen. Festlegen von Servern für gemeinsam genutzte Domains Wenn Sie mehrere gemeinsam genutzte Domains benötigen, müssen Sie die Server angeben, auf denen sich die gemeinsam genutzten Domains befinden sollen. Gemeinsam genutzte Domains sind für viele Benutzer von Bedeutung, daher sollten sie sich auf Mac OS X Server-Computern mit folgenden Merkmalen befinden: Â eingeschränkter physischer Zugriff Â begrenzter Netzwerkzugriff Â Hochverfügbarkeitstechnologien, wie z. B. unterbrechungsfreie Stromversorgung Wählen Sie Computer aus, die nicht häufig ersetzt werden und über eine ausreichende Kapazität für die Erweiterung von Verzeichnis-Domains verfügen. Sie können eine gemeinsam genutzte Domain zwar nach der Konfiguration bewegen. Damit sich Benutzer weiterhin anmelden können, kann dies jedoch ein erneutes Konfigurieren der Suchpfade von Computern erfordern, die eine Verbindung zur gemeinsam genutzten Domain herstellen. 72 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Replizieren von Open Directory-Diensten Mac OS X Server unterstützt die Replikation des LDAP-Verzeichnisdiensts, des Open Directory-Kennwortservers und des Kerberos-KDC. Das Replizieren Ihrer Verzeichnis- und Identifizierungsdienste ermöglicht Ihnen Folgendes: Â Bewegen der Verzeichnisinformationen in die Nähe einer größeren Gruppe von Benutzern in einem geografisch verteilten Netzwerk und damit eine Verbesserung der Leistung von Verzeichnis- und Identifizierungsdiensten für diese Benutzer. Â Erzielen von Redundanz, damit Störungen der Dienste für den Benutzer möglichst gering ausfallen, wenn ein Verzeichnissystem ausfällt oder nicht mehr erreichbar ist. Ein einzelner Server verfügt über eine primäre Kopie der gemeinsam genutzten LDAPVerzeichnis-Domain, des Open Directory-Kennwortservers und des Kerberos-KDCs. Dieser Server wird als Open Directory-Master bezeichnet. Jede Open Directory-Replik stellt einen separaten Server mit einer Kopie des LDAP-Verzeichnisses, Open Directory-Kennwortservers und Kerberos-KDC des Masters dar. Ein Open Directory-Server unter Mac OS X kann bis zu 32 Repliken haben. Jede Replik kann ihrerseits 32 Repliken haben, sodass Sie über 1056 Repliken in einer zweistufigen Hierarchie verfügen können. Der Zugriff auf das LDAP-Verzeichnis einer Replik erfolgt im Modus „Nur Lesen“. Änderungen an Benutzereinträgen und weiteren Account-Informationen im LDAP-Verzeichnis können nur auf dem Open Directory-Master vorgenommen werden. Der Open Directory-Master aktualisiert die zugehörigen Repliken, wenn am LDAP-Verzeichnis Änderungen vorgenommen wurden. Der Master kann Repliken stets aktualisieren, wenn eine Änderung vorgenommen wurde. Alternativ können Sie einen Plan erstellen, nach dem Aktualisierungen in bestimmten Intervallen vorgenommen werden. Der feste Zeitplan ist die beste Lösung, wenn Repliken über eine langsame Netzwerkverbindung mit dem Master verbunden sind. Kennwörter und Kennwortrichtlinien können auf jeder Replik geändert werden. Wenn das Kennwort eines Benutzers oder eine Kennwortrichtlinie auf mehreren Repliken geändert wurden, wird die zuletzt vorgenommene Änderung beibehalten. Die korrekte Aktualisierung von Repliken ist darauf angewiesen, dass die Uhren des Masters und der Repliken synchron sind. Wenn die Repliken und der Master unterschiedliche Uhrzeiten haben, kann es zu Fehlern bei der Aktualisierung kommen. Die Informationen zu Datum, Uhrzeit und Zeitzone müssen auf dem Master und den Repliken korrekt sein, und der Master und die Repliken müssen denselben Netzwerkzeitdienst verwenden, um ihre Uhren synchron zu halten. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 73 Achten Sie darauf, dass eine langsame Netzwerkverbindung nicht über nur eine Replik an den jeweiligen Verbindungsenden verfügt. Wird eine Replik durch eine langsame Netzwerkverbindung von den anderen Repliken getrennt und fällt diese Replik aus, so erfolgt eine Ausfallumschaltung der Clients der Replik auf eine Replik am anderen Ende der langsamen Netzwerkverbindung. Infolgedessen verlangsamen sich die zugehörigen Verzeichnisdienste möglicherweise deutlich. Wenn in Ihrem Netzwerk Mac OS X Server-Software der Versionen 10.4 und 10.5 verwendet wird, kann die eine Version nicht als Replik eines Masters der anderen Version eingesetzt werden. Ein Open Directory-Master der Version 10.5 kann keine Replik für Version 10.4 erzeugen. Ebenso erzeugt ein Open Directory-Master der Version 10.4 keine Replik für Version 10.5: Master von Mac OS X Server 10.5 Master von Mac OS X Server 10.4 Replik von Mac OS X Server 10.5 Ja Nein Replik von Mac OS X Server 10.4 Nein Ja Version der Replik Replikgruppen Eine Replikgruppe ist eine automatische Konfiguration, bei der jeder von Open Directory verwaltete Dienst (LDAP, Kennwortserver und Kerberos) denselben Replikserver suchen und verwenden können muss. Auf diese Weise kann sichergestellt werden, dass ClientComputer bei der Verwendung von Open Directory-Diensten denselben Replikserver auswählen, und eine verlangsamte Anmeldung kann verhindert werden. Kaskadierende Replikation Unter Mac OS X 10.4 wurde ein Hub/Spoke-Modell (Nabe/Speiche-Modell) für das Replizieren von Open Directory-Master-Servern verwendet. Dabei musste jeder Open Directory-Master für jeden Replikserver einen Transaktionseintrag verwalten. Die folgende Abbildung zeigt das Hub/Spoke-Modell für die Replikation in Mac OS X 10.4. Replik Replik Open DirectoryMaster Replik Replik Replik 74 Replik Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Darüber hinaus gab es keine vordefinierte Grenze dafür, wie viele Replikserver ein Open Directory-Master verwalten konnte. Müsste ein Open Directory-Master 1.000 Repliken verwalten, könnte es zu Leistungsproblemen kommen, wenn weitere Repliken hinzugefügt würden. Ähnlich erginge es einem Manager, der alleine für 1.000 Mitarbeiter zuständig ist. Diese Situation zu beherrschen, wäre ebenso wenig möglich. Mac OS X Server 10.5 verwendet die kaskadierende Replikation, um die Skalierbarkeit zu optimieren und Leistungsprobleme beim älteren Hub/Spoke-Replikationsmodell zu beseitigen. Mithilfe der kaskadierenden Replikation lässt sich die Anzahl der Replikserver begrenzen, die von einem einzelnen Open Directory-Master-Server unterstützt werden können. Ein einzelner Open Directory-Master-Server kann bis zu 32 Repliken verwenden, die ihrerseits jeweils über bis zu 32 Repliken verfügen können, sodass Ihnen 1056 Repliken für einen einzelnen Open Directory-Master-Server zur Verfügung stehen können. So entsteht eine zweistufige Hierarchie von Replikservern. Die erste Stufe der Repliken, bei denen es sich um direkte Mitglieder des Open Directory-Masters handelt, werden als Relais bezeichnet, wenn sie ihrerseits über Repliken verfügen, weil sie wie eine Relais-Station Daten an die zweite Stufe der Repliken übergeben. Darüber hinaus braucht ein einzelner Open Directory-Master-Server bei einer kaskadierenden Replikation nicht pro Replikserver einen Transaktionseintrag zu verwalten. Der Master-Server verwaltet maximal nur 32 Einträge für Repliktransaktionen und trägt so zur Optimierung der Leistung bei. Die folgende Abbildung veranschaulicht die zweistufige Hierarchie des kaskadierenden Replikationsmodells. Open DirectoryMaster Relais (Replik) Replik Replik Relais (Replik) Replik Replik Relais (Replik) Replik Replik Relais (Replik) Replik Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Replik 75 Planen der Aktualisierung mehrerer Open Directory-Repliken Wenn Ihr Open Directory-Master mehr als 32 Repliken verwaltet, muss Ihre Organisation auf eine kaskadierende Replikation migriert werden. Das kaskadierende Replikationsmodell optimiert die Leistung Ihres Open Directory-Servers. Bei Ihrer Migrationsplanung müssen Sie die Standorte Ihrer Replikserver und Ihre Netzwerktopologie berücksichtigen, um die beste hierarchische Struktur für die Neuorganisation Ihrer Repliken zu ermitteln. Beispielsweise wäre es nicht wünschenswert, dass ein Open Directory-Master an der Westküste der USA auf eine Replik an der Ostküste repliziert. Hinweis: Wenn Ihr Open Directory-Master weniger als 32 Repliken hat, ist keine Migration erforderlich. Lastenverteilung in kleinen, mittleren und großen Umgebungen Verwenden Sie keine Software für die Dienst-Lastenverteilung von Drittanbietern mit Open Directory-Servern. Software für die Lastverteilung kann zu unvorhergesehenen Problemen bei Open Directory-Computern führen. Sie kann die automatische Lastverteilung und das Verhalten der Ausfallumschaltung für Open Directory in Mac OS X und Mac OS X Server beeinträchtigen. Mac OS X-Computer versuchen, sich mit dem nächstgelegenen verfügbaren Open Directory-Server zu verbinden, unabhängig davon, ob es sich um einen Master oder eine Replik handelt. Der nächstgelegene Open Directory-Master eines Computers bzw. die nächstgelegene Replik ist der Master/die Replik mit der schnellsten Antwort auf die Anfrage des Computers nach einer Open Directory-Verbindung. Replikation in einer Umgebung mit mehreren Gebäuden Bei einem Netzwerk, das sich über mehrere Gebäude erstreckt, sind die Netzwerkverbindungen zwischen Gebäuden möglicherweise langsamer als innerhalb eines einzelnen Gebäudes. Die Netzwerkverbindungen zwischen den Gebäuden können auch überlastet sein. Diese Bedingungen können die Leistung von Computern negativ beeinflussen, die Open Directory-Dienste von einem Server in einem anderen Gebäude beanspruchen. Es empfiehlt sich daher möglicherweise, in jedem Gebäude eine Open Directory-Replik zu konfigurieren. Je nach Bedarf könnte es sogar sinnvoll sein, eine Open Directory-Replik auf jedem Stockwerk eines mehrstöckigen Gebäudes einzurichten. Jede Replik bietet effiziente Verzeichnis- und Identifizierungsdienste für Client-Computer in der unmittelbaren Umgebung. So ist es nicht erforderlich, dass Computer über die langsame, stark ausgelastete Netzwerkverbindung zwischen Gebäuden Verbindungen zu einem Open Directory-Server herstellen. 76 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Eine größere Anzahl von Repliken hat einen Nachteil. Repliken kommunizieren über das Netzwerk miteinander und mit dem Master. Diese zusätzliche Netzwerkkommunikation nimmt mit jeder weiteren Replik zu. Durch das Hinzufügen zu vieler Repliken erhöht sich der Netzwerkdatenverkehr zwischen Gebäuden durch Replikationsaktualisierungen in größerem Umfang als bei der Open Directory-Client-Kommunikation eingespart wird. Für die Entscheidung, wie viele Repliken implementiert werden sollen, müssen Sie berücksichtigen, wie stark die Computer Open Directory-Dienste in Anspruch nehmen werden. Verwenden die Computer die Open Directory-Dienste relativ selten und sind Ihre Gebäude über recht schnelle Netzwerkverbindungen (z. B. Ethernet mit 100 MBit/Sek.) miteinander verbunden, benötigen Sie vermutlich nicht in jedem Gebäude eine Replik. Sie können die zusätzliche Kommunikation zwischen Open Directory-Repliken und Master reduzieren, indem Sie planen, wie oft der Open Directory-Master die Repliken aktualisiert. Die Repliken müssen unter Umständen nicht jedes Mal aktualisiert werden, wenn eine Änderung auf dem Master erfolgt. Sie können Replikaktualisierungen mit einer geringeren Häufigkeit planen, um die Netzwerkleistung zu optimieren. Verwenden eines Open Directory-Masters, einer Open Directory-Replik oder eines Open Directory-Relais mit NAT Wenn Ihr Netzwerk einen Open Directory-Server auf der Seite des privaten Netzwerks eines NAT-Routers (Network Address Translation) bzw. eines NAT-Gateways hat (dies gilt auch für den NAT-Router von Mac OS X Server), können nur Computer auf der privaten Seite des Netzwerks des NAT-Routers eine Verbindung zur LDAP-Verzeichnis-Domain des Open Directory-Servers herstellen. Computer auf der Seite des öffentlichen Netzwerks des NAT-Routers können keine Verbindung zur LDAP-Verzeichnis-Domain eines Open Directory-Masters bzw. einer Replik auf der Seite des privaten Netzwerks herstellen. Wenn sich ein Open Directory-Server auf der öffentlichen Seite des Netzwerks eines NAT-Routers befindet, können Computer auf der privaten Seite und der öffentliche Seite des Netzwerks dieses NAT-Routers eine Verbindung zum LDAP-Verzeichnis des Open Directory-Servers herstellen. Wenn Ihr Netzwerk mobile Clients unterstützt, wie z. B. MacBooks, die zwischen dem privaten LAN Ihres NAT-Gateways und dem Internet wechseln können, müssen Sie den VPN-Dienst für mobile Benutzer konfigurieren, damit die Benutzer mithilfe eines VPN eine Verbindung zum privaten Netzwerk und zur Open Directory-Domain herstellen können. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 77 Kompatibilität von Open Directory-Master und -Replik Der Open Directory-Master und die zugehörigen Repliken müssen dieselbe Version von Mac OS X Server verwenden. Zusätzlich gilt Folgendes: Â Ein Open Directory-Master mit Mac OS X Server 10.5 erzeugt keine Repliken für Mac OS X Server 10.4. Â Mac OS X Server 10.5 kann keine Replik eines Open Directory-Masters mit Mac OS X Server 10.4 sein. Â Ein Open Directory-Master mit Mac OS X Server 10.5 kann eine Replik für eine Open Directory-Replik mit Mac OS X Server 10.5 erzeugen. Wenn Sie einen Open Directory-Master und Open Directory-Repliken mit Mac OS X Server 10.4 verwenden, müssen Sie sie gleichzeitig auf die Version 10.5 aktualisieren. Aktualisieren Sie zuerst den Master und anschließend die Repliken. Während der Aktualisierung steht den Clients des Masters und der Repliken weiterhin der Verzeichnisdienst und der Identifizierungsdienst zur Verfügung. Während der Aktualisierung des Masters werden die Clients per Ausfallumschaltung auf die nächstgelegene Replik geleitet. Wenn Sie Repliken nacheinander aktualisieren, wird für die Clients eine Ausfallumschaltung zum aktualisierten Master bereitgestellt. Beim Aktualisieren eines Open Directory-Masters von Mac OS X Server 10.4 auf die Version 10.5 werden die Verbindungen zu den vorhandenen Repliken getrennt. Nach der Aktualisierung aller Open Directory-Repliken auf Mac OS X Server 10.5 liegen jeweils eigenständige Verzeichnisdienste vor, die Sie erneut in Repliken umwandeln müssen. Weitere Informationen zum Aktualisieren auf Mac OS X Server 10.5 finden Sie im Handbuch Aktualisieren und Migrieren. Integrieren von Active Directory, einem Open DirectoryMaster und Replikdiensten in einem gemeinsamen System Bei der Einführung von Open Directory-Servern in einer Active Directory-Umgebung sind bestimmte Punkte zu berücksichtigen. Werden keine geeigneten Vorkehrungen getroffen, kommt es zu Mischeffekten bei der Bedienung der Clients und der Funktionalität der Server. Vermeiden Sie es außerdem, die identifizierte Verzeichnisbindung und Active Directory auf demselben Client oder Server zu integrieren. Sowohl die identifizierte Verzeichnisbindung als auch Active Directory nutzen Kerberos. Ihre gemeinsame Verwendung führt zu einem unerwarteten Verhalten oder zu einem Ausfall der Identifizierungsdienste, wenn nicht die nachfolgend beschriebenen Maßnahmen ergriffen werden. 78 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Beim Integrieren von Open Directory und Active Directory können Sie für Gesamtauthentifizierungszwecke die Kerberos-Anmeldedaten von nur einem System verwenden. Es ist nicht möglich, dass Benutzer in Active Directory und Open Directory vorhanden sind und beide Kerberos-Anmeldedaten für die Gesamtauthentifizierung auf einem Server verwenden, der für einen bestimmten Server kerberisiert ist. Sie können sich also nicht an einem Active Directory-Account anmelden und erwarten, die Gesamtauthentifizierung für einen Server zu verwenden, der zum Kerberos-Realm von Open Directory gehört. Kerberos wird in Active Directory- und in Open Directory-Umgebungen verwendet. Wenn Kerberos-Tickets verwendet werden sollen, geht Kerberos für die Bestimmung des Realms eines Servers von bestimmten Voraussetzungen aus. Im folgenden Beispiel werden ein Active Directory-Kerberos-Realm und ein Kerberos-Realm eines Open Directory-Masters integriert: Â Active Directory-Domain = company.com Â Active Directory-Kerberos-Realm = COMPANY.COM Â Open Directory-Server-Master = server1.company.com Â Open Directory-Kerberos-Realm = SERVER1.COMPANY.COM Bei dem Versuch, einen TGS (Ticket-Granting Server, Server für die Ticketverteilung) für die Verwendung von LDAP für server1.company.com zu erhalten, fordert Kerberos „ldap/server1. “ an, es sei denn, „domain_realm“ liegt in der Konfiguration vor. Bei „domain_realm“ für Open Directory wird davon ausgegangen, dass die gesamte Domain „.company.com“ zum Realm „SERVER1.DEMOTREE.COM“ gehört. Auf diese Weise würde jede Konnektivität mit der Active Directory-Domain „company.com“ unterbunden. Wenn Sie die identifizierte Verzeichnisbindung und Active Directory integrieren wollen, müssen sich Ihre Active Directory-Domain und Ihre Open Directory-Realms und -Server in unterschiedlichen Hierarchien befinden. Beispiel: Â Active Directory-Domain = company.com Â Active Directory-Kerberos-Realm = COMPANY.COM Â Open Directory-Server-Master = server1.od.company.com Â Open Directory-Server-Realm = „OD.COMPANY.COM“ Oder: Â Â Â Â Active Directory-Domain = ads.company.com Active Directory-Kerberos-Realm = ADS.COMPANY.COM Open Directory-Server-Master = server1.od.company.com Open Directory-Kerberos-Realm = OD.COMPANY.COM Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 79 In beiden Beispielen muss eine neue DNS-Domain-Zone erstellt werden. Für die Server müssen zudem DNS-Einträge für die Vorwärts- und die Rückauflösung vorhanden sein, damit eine IP-Adresse den erwarteten Namen erhält, wenn sie für den Open DirectoryServer verwendet wird. Wenn die IP-Adresse „server1.od.company.com“ beispielsweise der Nummer 10.1.1.1 entspricht, sollte die Auflösung von 10.1.1.1 mit „server1.od.company.com“ übereinstimmen und nicht mit „server1.company.com“. Integrieren mit vorhandenen Verzeichnis-Domains Verfügt Ihr Netzwerk bereits über eine Verzeichnis-Domain, können Sie Ihrem Netzwerk einen weiteren Verzeichnis-Domain-Server hinzufügen, der die Datenbank Ihrer vorhandenen Verzeichnis-Domain verwendet, um Benutzer für den Zugriff zu identifizieren. Für diese Konfiguration, die als Domain-übergreifende Identifizierung bezeichnet wird, müssen Ihre Server Kerberos unterstützen. Wenn Sie die Domain-übergreifende Identifizierung verwenden, ist ein Server ein Pseudo-Master-Server und der andere ein untergeordneter Server. Alle Benutzer identifizieren sich beim Pseudo-Master-Server mithilfe einer Identifizierungsmethode, damit der jeweilige Benutzer ein Kerberos-Ticket erhält, wenn er sich identifiziert. Versucht der Benutzer auf einen Dienst zuzugreifen, der vom untergeordneten Server bereitgestellt wird, akzeptiert und prüft der untergeordnete Server das Kerberos-Ticket des Benutzers, das vom Pseudo-Master für die Identifizierung des Benutzer ausgestellt wurde. Das Kerberos-Ticket verfügt über PAC-Informationen (Privilege Attribute Certificate), in denen Benutzername, Benutzer-IDs (UIDs) und Gruppenmitgliedschafts-IDs (GIDs) enthalten sind. Anhand dieser Informationen prüft der untergeordnete Server, ob der Benutzer zur Verwendung des entsprechenden Diensts berechtigt ist. Dazu vergleicht er die UID bzw. GID mit der Zugriffssteuerungsliste (ACL) des Diensts, auf den der Benutzer zugreifen möchte. Mit der Domain-übergreifenden Identifizierung ist es nicht erforderlich, abweichende Benutzernamen und Kennwörter für Ihren untergeordneten Verzeichnis-Domain-Server zu erstellen. Sie können zusammen mit den PAC-Informationen dieselben Benutzernamen und Kennwörter von der Verzeichnis-Domain des Unternehmens verwenden, um Benutzer für den Zugriff zu identifizieren. Die Domain-übergreifende Identifizierung ist die ideale Konfiguration, wenn Sie nicht berechtigt sind, Gruppen in der Verzeichnis-Domain des Unternehmens direkt zu bearbeiten. 80 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Sie können die Domain-übergreifende Identifizierung zwischen einem Active DirectoryServer und einem Open Directory-Server von Mac OS X 10.5 oder zwischen zwei Open Directory-Servern von Mac OS X 10.5 verwenden. Die Domain-übergreifende Identifizierung funktioniert nicht auf Servern mit Mac OS X 10.4. Für die Verwendung von PACInformationen muss der Pseudo-Master-Server über einen Kerberos-Realm verfügen, zu dem der untergeordnete Server eine Verbindung herstellen kann. Damit Ihr Server für ein Verzeichnissystem zu einem untergeordneten Server wird, müssen Sie ihn mithilfe des Programms „Verzeichnisdienste“ mit einem Active Directoryoder Open Directory-Server verbinden, auf dem Kerberos konfiguriert und aktiv ist. Dann müssen Sie Ihren Open Directory-Server mithilfe des Programms „Server-Admin“ in einen Open Directory-Master umwandeln. Der untergeordnete Server bestimmt automatisch, dass er einem Active Directory- bzw. einem Open Directory-Server untergeordnet ist und konfiguriert sich selbst entsprechend. Sie können auch eine Replik Ihres untergeordneten Open Directory-Servers haben. Zum Erstellen einer Replik eines untergeordneten Verzeichnisservers verbinden Sie Ihren Server mithilfe des Programms „Verzeichnisdienste“ mit dem Pseudo-Master und dem untergeordneten Server. Anschließend konfigurieren Sie den Server als Replik des untergeordneten Servers. Wird der Server nicht mit dem Pseudo-Master und dem untergeordneten Server verbunden, wird er blockiert oder das Konfigurieren als Replik schlägt fehlt. Integrieren ohne Schemaänderungen Mac OS X und Mac OS X Server können mit den meisten LDAP-basierten Verzeichnissen integriert werden, ohne Änderungen am Schema des Verzeichnisservers zu erfordern. Möglicherweise werden jedoch bestimmte Eintragstypen vom Verzeichnisschema Ihres Server nicht erkannt oder verwaltet. Wenn Sie Mac OS X-Computer in Ihren Verzeichnisserver integrieren, empfiehlt es sich, dem Verzeichnisschema einen neuen Eintragstyp oder eine neue Objektklasse hinzuzufügen, um Ihre Mac OS X-Client-Computer besser zu verwalten und zu unterstützen. Beispielsweise gibt es den Eintragstyp „Bild“ standardmäßig nicht in Ihrem Verzeichnisschema für Ihre Mac OS X-Benutzer. Sie können ihn jedoch Ihrem Verzeichnisschema hinzufügen, damit „Bild“-Einträge in der Verzeichnisdatenbank gespeichert werden können. Wenn Sie Ihrem Verzeichnisschema Einträge oder Attribute hinzufügen wollen, wenden Sie sich an Ihren Verzeichnis-Domain-Administrator, um entsprechende Anleitungen zu erhalten. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 81 Integrieren mit Schemaänderungen Wenn Sie Ihrer vorhandenen Verzeichnis-Domain Mac OS X-Computer hinzufügen, können Sie an Ihrem Verzeichnis-Domain-Server Änderungen vornehmen, um Mac OS XClient-Computer besser zu unterstützen. Wenn Sie Ihrem Schema einen Eintragstyp oder ein Attribut hinzufügen, müssen Sie untersuchen, ob bereits ein Eintragstyp oder ein Attribut vorhanden ist, das dem vorhandenen Verzeichnisschema leicht zugeordnet werden kann. Wenn Sie nicht über einen ähnlichen Eintragstyp bzw. ein ähnliches Attribut verfügen, der bzw. das eine solche Zuordnung erlaubt, können Sie den Eintragstyp bzw. das Attribut Ihrem Schema hinzufügen. Dies wird als Erweitern des Schemas bezeichnet. Beim Erweitern Ihres Schemas müssen Sie möglicherweise die Standard-ACL (Access Control List – Zugriffssteuerungsliste) bestimmter Attribute ändern, damit Computer-Accounts die Benutzereigenschaften lesen können. Beispielsweise können Sie Mac OS X für den Zugriff auf allgemeine Benutzer-Account-Informationen in einer Active Directory-Domain eines Windows 2000-, eines Windows 2003- oder eines neueren Servers konfigurieren. Weitere Informationen zum Erweitern Ihres Schemas finden Sie im Anhang „Mac OS X-Verzeichnisdaten“. Vermeiden von Kerberos-Konflikten bei Vorliegen mehrerer Verzeichnisse Wenn Sie einen Open Directory-Master in einem Netzwerk mit Active Directory-Domain konfigurieren, verfügt Ihr Netzwerk über zwei Kerberos-Realms: einen Open DirectoryKerberos-Realm und einen Active Directory-Kerberos-Realm. Für alle praktischen Zwecke können andere Server im Netzwerk nur einen einzigen Kerberos-Realm verwenden. Wenn Sie einen Dateiserver, einen Mail-Server oder einen anderen Server konfigurieren, der die Kerberos-Identifizierung verwenden kann, müssen Sie einen einzelnen Kerberos-Realm auswählen. Mac OS X Server muss demselben Kerberos-Realm angehören wie die Client-Benutzer. Der Realm hat nur einen einzigen Kerberos-Berechtigungsserver, der für die gesamte Kerberos-Identifizierung im Realm zuständig ist. Der Kerberos-Server kann nur Clients und Server in seinem Realm identifizieren. Clients und Server, die zu einem anderen Realm gehören, können nicht identifiziert werden. Nur Benutzer-Accounts im ausgewählten Kerberos-Realm haben die Fähigkeit zur Gesamtauthentifizierung (Single Sign-On, SSO). Benutzer-Accounts im anderen Realm können sich weiterhin identifizieren, jedoch nicht per Gesamtauthentifizierung. 82 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Wenn Sie einen Server für den Zugriff auf mehrere Verzeichnissysteme mit jeweils einem Kerberos-Realm konfigurieren, müssen Sie die Benutzer-Accounts, die die kerberisierten Dienste verwenden sollen, sorgfältig planen. Sie müssen die Methode für den Zugriff auf zwei Verzeichnisdienste kennen. Sie müssen den Server mit dem Realm verbinden, dessen begleitende Verzeichnis-Domain die Accounts enthält, die Kerberos und die Gesamtauthentifizierung verwenden müssen. So empfiehlt es sich beispielsweise, den Zugriff auf einen Active Directory-Realm für dessen Benutzereinträge und für ein Open Directory-LDAP-Verzeichnis für die Mac OS X-Einträge und -Attribute zu konfigurieren, die sich nicht in Active Directory befinden, etwa Gruppen- und Computereinträge. Weitere Server könnten nun eine Verbindung zum Active Directory-Kerberos-Realm oder zum Open Directory-Kerberos-Realm herstellen. In diesem Fall empfiehlt sich das Hinzufügen zum Active Directory-KerberosRealm, sodass die Active Directory-Benutzer-Accounts über eine Gesamtauthentifizierung verfügen. Wenn Sie auch über Benutzer-Accounts im LDAP-Verzeichnis des Open DirectoryServers verfügen, können Benutzer sich dort weiterhin identifizieren. Die Open Directory-Benutzer-Accounts verwenden Kerberos jedoch nicht und verfügen nicht über die Gesamtauthentifizierung. Sie verwenden Identifizierungsmethoden des Open Directory-Kennwortservers. Sie können alle Mac-Benutzer in der Open Directory-Domain und alle Windows-Benutzer in der Active Directory-Domain verwalten. Alle Benutzer können sich dann identifizieren, aber nur eine der beiden Gruppen kann Kerberos verwenden. Wichtig: Konfigurieren Sie einen Open Directory-Master bzw. eine Open DirectoryReplik nicht für den Zugriff auf eine Active Directory-Domain (oder eine andere Verzeichnis-Domain mit einem Kerberos-Realm). Sonst versuchen der Open DirectoryKerberos-Realm und der Active Directory-Kerberos-Realm dieselben Konfigurationsdateien auf dem Open Directory-Server zu verwenden, was zu Störungen bei der Open Directory-Kerberos-Identifizierung führt. Vermeiden Sie Konflikte mit einer Kerberos-Konfigurationsdatei und verwenden Sie einen Open Directory-Server nicht als Client-Computer für die Verwaltung von Benutzern in einer Verzeichnis-Domain eines anderen Kerberos-Servers, etwa einer Active Directory-Domain. Verwenden Sie stattdessen einen Administratorcomputer (einen Mac OS X-Computer mit installierten Programmen für die Serververwaltung), der für den Zugriff auf die zugehörigen Verzeichnis-Domains konfiguriert ist. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 83 Wenn Sie Benutzer in der Verzeichnis-Domain eines anderen Servers mit einem Open Directory-Server verwalten müssen, vergewissern Sie sich, dass die andere VerzeichnisDomain nicht Teil des Suchpfads für die Identifizierung des Open Directory-Servers ist. Sie können Konflikte mit der Kerberos-Konfigurationsdatei weiterhin verhindern, indem Sie keinen Open Directory-Server verwenden, um Dienste bereitzustellen, die auf eine andere Verzeichnis-Domain des Kerberos-Servers zugreifen. Wenn Sie beispielsweise den AFP-Dateidienst für den Zugriff auf Open Directory und Active Directory konfigurieren, empfiehlt es sich, keinen Open Directory-Server für die Bereitstellung des Dateidiensts zu verwenden. Verwenden Sie einen anderen Server und fügen Sie diesen zum Kerberos-Realm eines der Verzeichnisdienste hinzu. Theoretisch können Server oder Clients zwei Kerberos-Realms angehören, beispielsweise einem Open Directory-Realm und einem Active Directory-Realm. Die KerberosIdentifizierung mit mehreren Realms erfordert eine komplexe Konfiguration. Dazu gehört das Einrichten der Kerberos-Server und -Clients für die Realm-übergreifende Identifizierung sowie das Ändern der kerberisierten Dienstsoftware, damit sie zu mehreren Realms gehören kann. Optimieren von Leistung und Redundanz Sie können die Leistung der Open Directory-Dienste optimieren, indem Sie dem Server Speicher hinzufügen und ihn weniger Dienste bereitstellen lassen. Diese Strategie gilt auch für alle anderen Dienste von Mac OS X Server. Je konsequenter Sie einen einzelnen Server gezielt für eine bestimmte Aufgabe einsetzen, desto besser ist seine Leistung. Über diese allgemeine Strategie hinaus können Sie die Leistung von Open DirectoryServern optimieren, indem Sie der LDAP-Datenbank eine eigene Festplatte und den Open Directory-Protokollen eine andere Festplatte zuweisen. Wenn Ihr Netzwerk Repliken eines Open Directory-Masters enthält, können Sie die Netzwerkleistung optimieren, indem Sie die Aktualisierung von Repliken mit einer geringeren Häufigkeit planen. Seltenere Aktualisierungen bedeuten, dass die Repliken über weniger aktuelle Verzeichnisdaten verfügen. Sie müssen also eine höhere Netzwerkleistung und eine geringere Genauigkeit Ihrer Repliken gegeneinander abwägen. Wenn Sie eine größere Redundanz der Open Directory-Dienste wünschen, müssen Sie zusätzliche Server als Open Directory-Repliken konfigurieren oder Server mit RAIDSystemen verwenden. 84 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Open Directory-Sicherheit Mit Mac OS X Server stellt ein Server mit einer gemeinsam genutzten LDAP-Verzeichnis-Domain auch die Open Directory-Identifizierung bereit. Es ist wichtig, die von Open Directory gespeicherten Identifizierungsdaten zu schützen. Zu diesen Identifizierungsdaten gehören die Datenbank des Open Directory-Kennwortservers und die KerberosDatenbank, die ebenfalls geschützt werden müssen. Stellen Sie daher durch Befolgen folgender Richtlinien sicher, dass ein Open Directory-Master und alle Open DirectoryRepliken sicher sind: Â Die Sicherheit eines Serverstandorts, der ein Open Directory-Master oder eine Replik ist, ist vorrangig. Halten Sie die zum Server führende Tür verschlossen und melden Sie ihn immer ab. Â Schützen Sie die Medien, die Sie zum Sichern einer Open Directory-KennwortserverDatenbank und einer Kerberos-Datenbank verwenden. Durch das Abschließen des Raums mit den Open Directory-Server sind Backup-Bänder, die Sie auf Ihrem Tisch liegen lassen, noch nicht geschützt. Â Verwenden Sie keinen Server, der ein Open Directory-Master oder eine Open Directory-Replik ist, zum Bereitstellen anderer Dienste. Wenn Server nicht dediziert als Open Directory-Master oder als Open Directory-Repliken eingesetzt werden können, minimieren Sie die Anzahl der von den Servern bereitgestellten Dienste. Einer der anderen Dienste könnte eine Sicherheitslücke aufweisen, die unbefugten Benutzern Zugriff auf die Kerberos-Datenbank oder die Datenbank des Open Directory-Kennwortservers gewährt. Server für das gezielte Bereitstellen von Open Directory-Diensten zu konfigurieren, ist ein optimales Vorgehen, das jedoch nicht zwingend erforderlich ist. Â Konfigurieren Sie SACLs (Service Access Control Lists) für das Anmeldefenster und SSH (Secure Shell), um zu begrenzen, welche Benutzer sich an einem Open Directory-Master oder eine Open Directory-Replik anmelden können. Â Vermeiden Sie es, ein RAID-Volume, das mit anderen Computern gemeinsam genutzt wird, als Startvolume eines Servers zu verwenden, der als Open Directory-Master oder Replik verwendet wird. Eine Sicherheitslücke auf einem der anderen Computer könnte die Sicherheit der Open Directory-Informationen zur Identifizierung gefährden. Â Konfigurieren Sie den IP-Firewall-Dienst dafür, alle Ports zu blockieren, mit Ausnahme der Ports, die für die folgenden Verzeichnis-, Identifizierungs- und Verwaltungsprotokolle verwendet werden: Â Der Open Directory-Kennwortserver verwendet die Ports 106 und 3659. Â Das Kerberos-KDC verwendet den TCP/UDP-Port 88, und der TCP/UDP-Port 749 wird für die Kerberos-Verwaltung verwendet. Â Das gemeinsam genutzte LDAP-Verzeichnis verwendet den TCP-Port 389 für eine gewöhnliche Verbindung und den TCP-Port 636 für eine SSL-Verbindung. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 85 Â Halten Sie beim Erstellen einer Open Directory-Replik den Port 22 zwischen dem Master und der zu erstellenden Replik offen. Dieser Port wird für den SSH-Datenverkehr (Secure Shell – sichere Shell) verwendet, mit dem eine vollständige, aktuelle Kopie der LDAP-Datenbank übertragen wird. Nach der ursprünglichen Replikkonfiguration wird nur der LDAP-Port (389 oder 636) für die Replikation verwendet. Â Der Arbeitsgruppenmanager verwendet die TCP-Ports 311 und 625. Â Das Programm „Server-Admin“ verwendet den TCP-Port 311. Â SMB verwendet die TCP/UDP-Ports 137, 138, 139 und 445. Â Rüsten Sie den Open Directory-Master-Computer mit einer unterbrechungsfreien Stromversorgung (USV) aus. Zusammengefasst ist das folgende Vorgehen das sicherste und beste: Â Definieren Sie jeden Server, der ein Open Directory-Master oder eine Open DirectoryReplik ist, für die ausschließliche Bereitstellung von Verzeichnisdiensten. Â Konfigurieren Sie eine Firewall für diese Server, um nur Folgendes bereitzustellen: Protokolle für den Verzeichniszugriff, die Identifizierung und die Verwaltung (LDAP, Kennwortserver, Kerberos, Arbeitsgruppenmanager und Server-Manager). Â Sorgen Sie dafür, dass jeder Open Directory-Server und alle Sicherungsmedien, die für ihn verwendet werden, sicher an einem abschließbaren Standort untergebracht sind. Die Replikation von Verzeichnis- und Identifizierungsdaten über das Netzwerk stellt ein minimales Sicherheitsrisiko dar. Kennwortdaten werden mithilfe zufälliger Schlüssel, die während jeder Replikationssitzung ausgehandelt werden, sicher repliziert. Der Identifizierungsteil des Replikationsdatenverkehrs – der Open Directory-Kennwortserver und das Kerberos-KDC – wird vollständig verschlüsselt. Für zusätzliche Sicherheit können Sie Netzwerkverbindungen zwischen Open DirectoryServern dafür konfigurieren, Netzwerk-Switches statt Hubs zu verwenden. Auf diese Weise wird der Datenverkehr der Identifizierungsreplikation auf vertrauenswürdige Netzwerksegmente beschränkt. SACLs (Service Access Control Lists) Mac OS X verwendet SACLs, um Benutzer für den Zugriff auf einen Dienst zu autorisieren. SACLs bestehen aus ACEs (Access Control Entries – Zugriffssteuerungseinträge), mit denen die Zugriffsrechte eines Benutzers für einen Dienst ermittelt werden. Mithilfe von SACLs können Sie Benutzern den Zugriff auf einen Open Directory-Master oder eine Open Directory-Replik gewähren oder verweigern, indem Sie SACLs für das Anmeldefenster und für SSH festlegen. So wird der Zugriff auf den Dienst beschränkt. Mithilfe von SACLs können Sie auch den Administratorzugriff auf Open Directory festlegen. Auf diese Weise wird der Zugriff auf den Dienst nicht beschränkt. Stattdessen wird angegeben, welche Benutzer den Dienst verwalten oder überwachen können. Weitere Informationen zum Festlegen von Administrator-SACLs finden Sie im Abschnitt „Konfigurieren der Zugriffssteuerung für Dienste“ auf Seite 207. 86 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory SACLs ermöglichen eine bessere Steuerung darüber, welche Administratoren Zugriff zum Überwachen und Verwalten des Diensts erhalten. Nur die in einer SACL aufgelisteten Benutzer und Gruppen können auf den jeweiligen Dienst zugreifen. Wenn Sie beispielsweise Benutzern oder Gruppen Administratorzugriff für den Open Directory-Dienst auf Ihrem Server gewähren möchten, fügen Sie sie der Open Directory-SACL als Zugriffssteuerungseintrag hinzu. Gestufte Verwaltung Mac OS X Server verwendet keine Verwaltungseinheiten für Benutzer- oder Gruppenzugriffsrechte in Verzeichnisdiensten. Zugriffsrechte sind von der Art der Verwaltung Ihrer Verzeichnisdatenbank unabhängig. Mac OS X Server 10.5 verwendet eine gestufte Verwaltung für eine größere Detailgenauigkeit bei den Lese- und Schreibrechten von Benutzern für Einträge in der Verzeichnisdatenbank. Benutzerrechte werden gesteuert, indem Benutzer oder Gruppen in einer ACL verwaltet und Benutzern Lese- und Schreibrechte für Einträge erteilt werden. Die Einträge von Benutzern oder Gruppen in ACLs werden als ACEs (Zugriffssteuerungseinträge) bezeichnet. Mithilfe der gestuften Verwaltung können Sie Ihre Benutzer leicht in Gruppen verwalten und die Einträge angeben, die von einer Gruppe verwaltet werden können. Es empfiehlt sich, bei der Verwendung der gestuften Verwaltung Folgendes zu berücksichtigen: Â Welche Benutzer zur Gruppe gehören Â Die Zugriffsrechte, die die jeweilige Gruppe erhalten soll Â Die Einträge, die Ihre Gruppe verwalten soll Sie können Benutzern oder Gruppen die vollständige oder eine begrenzte Steuerung der Domain-Verwaltung erlauben. Wenn Sie eine begrenzte Verwaltungssteuerung erlauben, können Sie auswählen, welche Benutzer und Gruppen ein Benutzer bzw. eine Gruppe verwalten kann. Sie können auch die Art der Steuerung angeben, die der Benutzer auf diese Benutzer und Gruppen ausüben kann. Das Erteilen der vollständigen Steuerung beispielsweise ermöglicht dem entsprechenden Benutzer eine unbegrenzte Steuerung der Verzeichnis-Domain. Die Domain-Zugriffsrechte eines Benutzers können Sie nur für LDAPv3-VerzeichnisDomains ändern. Es ist nicht möglich, Zugriffsrechte für einen lokalen VerzeichnisDomain-Account oder für einen Account in einer Nicht-LDAPv3-Verzeichnis-Domain zu ändern. Administratoren mit umfassenden und begrenzten Verwaltungsrechten verwenden das Programm „Arbeitsgruppenmanager“ für die Benutzerverwaltung. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 87 Programme zum Verwalten von Open Directory-Diensten Die Programme „Server-Admin“, „Verzeichnisdienste“ und „Arbeitsgruppenmanager“ bieten eine grafische Benutzeroberfläche für die Verwaltung von Open DirectoryDiensten in Mac OS X Server. Zusätzlich können Sie Open Directory-Dienste mithilfe des Programms „Terminal“ auch über die Befehlszeile verwalten. Alle diese Programme sind in Mac OS X Server enthalten und können auf einem weiteren Computer mit Mac OS X 10.5 (oder neuer) installiert werden, um diesen Computer als Administratorcomputer zu konfigurieren. Weitere Informationen zum Konfigurieren eines Administratorcomputers finden Sie im Kapitel zur Serververwaltung im Handbuch Einführung. Programm „Server-Admin“ Das Programm „Server-Admin“ bietet Zugriff auf Werkzeuge für die Konfiguration, Verwaltung und Überwachung von Open Directory-Diensten und anderen Diensten. Sie können das Programm „Server-Admin“ für folgende Zwecke verwenden: Â Konfigurieren von Mac OS X Server als Open Directory-Master, als Open DirectoryReplik, als mit einem Verzeichnissystem verbundene Replik oder als eigenen Verzeichnisdienst mit nur lokaler Verzeichnis-Domain. Weitere Informationen hierzu finden Sie in Kapitel 5 „Konfigurieren von Open Directory-Diensten“. Â Konfigurieren weiterer Mac OS X Server-Systeme für die Verwendung des KerberosKDCs eines Open Directory-Masters oder einer Open Directory-Replik. Weitere Informationen hierzu finden Sie in Kapitel 5. Â Zum Konfigurieren von LDAP-Optionen auf einem Open Directory-Master. Weitere Informationen hierzu finden Sie in Kapitel 5. Â Zum Konfigurieren des DHCP-Servers, sodass er Mac OS X-Computern mit automatischen Suchpfaden eine LDAP-Serveradresse übermittelt. Weitere Informationen hierzu finden Sie im Kapitel zu DHCP im Handbuch Netzwerkdienste – Administration. Â Zum Konfigurieren von Kennwortrichtlinien, die für alle Benutzer ohne vorrangige individuelle Kennwortrichtlinien gelten. Weitere Informationen finden Sie in Kapitel 6 „Verwalten der Daten für die Benutzeridentifizierung“. (Zum Konfigurieren einzelner Kennwortrichtlinien verwenden Sie das Programm „Arbeitsgruppenmanager“. Informationen hierzu finden Sie in Kapitel 6.) Â Zum Überwachen von Open Directory-Diensten. Weitere Informationen hierzu finden Sie in Kapitel 9 „Pflegen von Open Directory-Diensten“. 88 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Allgemeine Informationen zur Verwendung des Programms „Server-Admin“ finden Sie im Kapitel zur Serververwaltung im Handbuch Einführung. In diesem Kapitel werden die folgenden Punkte erläutert: Â Öffnen des Programms und Anmelden beim Programm „Server-Admin“ Â Arbeiten mit Servern Â Verwalten von Diensten Â Steuern des Zugriffs auf Dienste Â Verwenden von SSL für die Fernverwaltung des Servers Â Anpassen der Umgebung des Programms „Server-Admin“ Das Programm „Server-Admin“ befindet sich im Verzeichnis „/Programme/Server“. Verzeichnisdienste Das Programm „Verzeichnisdienste“ bestimmt, wie ein Mac OS X-Computer Verzeichnisdienste verwendet, Netzwerkdienste erkennt und Verzeichnisdienste für die Identifizierung und für Kontaktinformationen sucht. Das Programm „Verzeichnisdienste“ kann für folgende Zwecke verwendet werden: Â Konfigurieren des Zugriffs auf LDAP-Verzeichnisse, auf eine Active Directory-Domain und auf eine NIS-Domain (Network Information Services) Â Konfigurieren der Datenzuordnung für LDAP-Verzeichnisse Â Definieren von Pfaden für die Suche nach mehreren Verzeichnisdiensten für die Identifizierung und für Kontaktinformationen Â Aktivieren oder Deaktivieren von Verzeichnisdiensttypen und Typen der Netzwerkdiensterkennung Das Programm „Verzeichnisdienste“ kann zu anderen Servern in Ihrem Netzwerk eine Verbindung herstellen, damit Sie sie per Fernzugriff konfigurieren können. Weitere Informationen zur Verwendung des Programms „Verzeichnisdienste“ finden Sie in Kapitel 7 „Verwalten von Verzeichnis-Clients“. Das Programm „Verzeichnisdienste“ ist bei jedem Mac OS X-Computer im Verzeichnis „/Programme/Dienstprogramme“ installiert. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 89 Arbeitsgruppenmanager Das Programm „Arbeitsgruppenmanager“ bietet umfassende Verwaltungsfunktionen für Mac OS X Server-Clients. Sie können den Arbeitsgruppenmanager für folgende Zwecke verwenden: Â Konfigurieren und Verwalten von Benutzer-Accounts, Gruppen-Accounts und Computergruppen. Weitere Informationen hierzu finden Sie in Kapitel 6 „Verwalten der Daten für die Benutzeridentifizierung“. Weitere Informationen zu anderen Themen zur Benutzer-, Gruppen- und Computerverwaltung finden Sie im Handbuch Benutzerverwaltung. Â Verwalten von Netzwerkordner für Dateidienste und Benutzerordner. Weitere Informationen hierzu finden Sie in den Kapiteln zu Netzwerkordnern und SMB-Diensten im Handbuch Dateidienste – Administration und im Kapitel zu Benutzerordnern im Handbuch Benutzerverwaltung. Â Zum Steuern des Inhalts, der Mac OS X-Benutzern bei Auswahl des Symbols „Netzwerk“ in einer Finder-Seitenleiste angezeigt wird. Weitere Informationen hierzu finden Sie im Kapitel zur Verwaltung von Netzwerkansichten im Handbuch Benutzerverwaltung. Â Zum Anzeigen von unformatierten Verzeichniseinträgen durch Verwendung der Detailansicht. Weitere Informationen hierzu finden Sie im Abschnitt „Anzeigen und Bearbeiten von Verzeichnisdaten“ auf Seite 212. Allgemeine Informationen zur Verwendung des Programms „Arbeitsgruppenmanager“ finden Sie im Kapitel zur Serververwaltung im Handbuch Einführung. In diesem Kapitel werden die folgenden Punkte erläutert: Â Öffnen und Identifizieren im Arbeitsgruppenmanager Â Verwalten von Accounts Â Anpassen der Umgebung des Arbeitsgruppenmanagers Der Arbeitsgruppenmanager wird im Ordner „Programme/Server“ installiert. Befehlszeilenprogramme Administratoren, die eine Serververwaltung über die Befehlszeile bevorzugen, steht eine Reihe von Befehlszeilenprogrammen zur Verfügung. Für die entfernte Serververwaltung senden Sie Befehle in einer SSH-Sitzung (Secure Shell – sichere Shell). Befehle können Sie auf Mac OS X-Servern und -Computern mithilfe des Programms „Terminal“ eingeben, das sich im Verzeichnis „/Programme/Dienstprogramme“ befindet. Weitere Informationen hierzu finden Sie im Handbuch Command-Line Administration. 90 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 5 Konfigurieren von Open Directory-Diensten 5 Open Directory-Dienste – Verzeichnisdienste und Identifizierungsdienste – sind ein wichtiger Teil der Infrastruktur eines Netzwerks. Diese Dienste haben erhebliche Auswirkungen auf andere Netzwerkdienste und Benutzer. Aus diesem Grund müssen Sie Open Directory von Anfang an korrekt konfigurieren. Konfigurationsübersicht Im Folgenden finden Sie eine Übersicht über die Hauptaufgaben, die Sie zum Konfigurieren der Open Directory-Dienste ausführen. Detaillierte Informationen zu den einzelnen Schritten finden Sie auf den angegebenen Seiten. Schritt 1: Vorbereitende Planung Eine Liste der Punkte, die Sie vor dem Konfigurieren von Open Directory unter Mac OS X Server bedenken sollten, finden Sie im Abschnitt „Vorbereitung“ auf Seite 93. Schritt 2: Aktivieren des Open Directory-Diensts Verwenden Sie das Programm „Server-Admin“, um den Open Directory-Dienst zu aktivieren. Nach der Aktivierung können Sie die Einstellungen des Open Directory-Diensts konfigurieren. Weitere Informationen zum Aktivieren des Open Directory-Diensts finden Sie im Abschnitt „Aktivieren von Open Directory“ auf Seite 94. Schritt 3: Konfigurieren eines eigenständigen Verzeichnisdiensts Informationen zum Konfigurieren von Servern, die keine Identifizierungs- und anderen Verwaltungsinformationen von einem Verzeichnisdienst erhalten, finden Sie im Abschnitt „Konfigurieren eines eigenständigen Verzeichnisdiensts“ auf Seite 94. Schritt 4: Konfigurieren eines Open Directory-Masters Informationen zum Konfigurieren eines Servers für das Bereitstellen von Verzeichnisund Identifizierungsdiensten finden Sie in den Abschnitten „Kompatibilität von Open Directory-Master und -Replik“ auf Seite 78 und „Konfigurieren eines Open DirectoryMasters“ auf Seite 95. 91 Schritt 5: Konfigurieren eines primären Domain-Controllers (PDC) Informationen zum Konfigurieren eines Servers für das Bereitstellen von Verzeichnisund Identifizierungsdiensten für Windows- und Mac OS X-Plattformen finden Sie im Abschnitt „Konfigurieren eines primären Domain-Controllers (PDC)“ auf Seite 98. Schritt 6: Konfigurieren einer Open Directory-Replik Informationen zum Konfigurieren von Servern für das Bereitstellen von Verzeichnis- und Identifizierungsdiensten für die Ausfallumschaltung oder von entfernten Verzeichnis- und Identifizierungsdiensten für die schnelle Client-Interaktion in verteilten Netzwerken finden Sie im Abschnitt „Konfigurieren einer Open Directory-Replik“ auf Seite 102. Schritt 7: Konfigurieren von Open Directory-Relais für die kaskadierende Replikation Informationen zum Konfigurieren eines Servers als Replik oder Relais eines Open Directory-Masters, die bzw. das Computern Verzeichnis- und Identifizierungsinformationen bereitstellen kann, finden Sie im Abschnitt „Konfigurieren von Open Directory-Relais für die kaskadierende Replikation“ auf Seite 105. Schritt 8: Konfigurieren eines Servers als Backup-Domain-Controller (BDC) Informationen zum Konfigurieren von Servern für das Bereitstellen der Ausfallumschaltung für Ihren primären Domain-Controller finden Sie im Abschnitt „Konfigurieren eines Servers als BDC“ auf Seite 105. Schritt 9: Konfigurieren der Server, die eine Verbindung zu anderen Verzeichnissystemen herstellen Wenn Sie über Dateiserver oder andere Server mit Zugriff auf Verzeichnis- und Identifizierungsdienste verfügen, finden Sie entsprechende Informationen im Abschnitt „Konfigurieren einer Verbindung zu einem Verzeichnisserver“ auf Seite 107. Schritt 10: Konfigurieren der Kerberos-Identifizierung mit Gesamtauthentifizierung Wenn Sie einen Open Directory-Master haben, können Sie weitere Server für den Beitritt zum Kerberos-Realm des Masters konfigurieren. Wenn Sie einen Open DirectoryMaster ohne Kerberos einrichten, so können Sie Kerberos später konfigurieren. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren der Kerberos-Identifizierung mit Gesamtauthentifizierung“ auf Seite 112. Schritt 11: Konfigurieren von Client-Computern für das Verbinden mit Verzeichnisdiensten Wenn Sie einen Open Directory-Master haben, müssen Sie Client-Computer für den Zugriff auf die Verzeichnis-Domain des Masters konfigurieren. Sie können Computer auch für den Zugriff auf andere Verzeichnisdienste konfigurieren, etwa Active Directory von Microsoft. Weitere Informationen hierzu finden Sie in den Abschnitten Kapitel 7 „Verwalten von Verzeichnis-Clients“ und Kapitel 8 „Erweiterte Einstellungen für Directory-Clients“. Schritt 12: Beschreiben des Anmeldevorgangs für Benutzer Weitere Informationen hierzu finden Sie im Abschnitt „Beschreiben des Anmeldevorgangs für Benutzer“ auf Seite 98. 92 Kapitel 5 Konfigurieren von Open Directory-Diensten Vorbereitung Beachten Sie Folgendes, bevor Sie Open Directory-Dienste erstmalig einrichten: Â Machen Sie sich mit den Verwendungsmöglichkeiten von Verzeichnisdaten vertraut und ermitteln Sie Ihre Verzeichniserfordernisse. Ermitteln Sie die Dienste, die Daten von Verzeichnis-Domains erfordern, und bestimmen Sie, welche Benutzer Zugriff auf diese Dienste benötigen. Benutzer, deren Informationen am einfachsten auf einem Server verwaltet werden können, sollten im gemeinsam genutzten LDAP-Verzeichnis des Mac OS X Servers definiert werden, der der Open Directory-Master ist. Einige dieser Benutzer können in Verzeichnis-Domains auf anderen Servern definiert werden, etwa in einer Active Directory-Domain auf einem Windows-Server. Diese Konzepte werden in Kapitel 1 „Verzeichnisdienste mit Open Directory“ erörtert. Â Stellen Sie fest, ob Sie mehrere gemeinsam genutzte Domains benötigen. Entscheiden Sie, wenn dem so ist, welche Benutzer in welcher gemeinsam genutzten Domain definiert werden. Weitere Informationen hierzu finden Sie im Abschnitt „Mehrstufige Suchpfade“ auf Seite 40. Â Ermitteln Sie, welche Optionen zur Identifizierung Benutzer benötigen. Informationen zu verfügbaren Optionen finden Sie in Kapitel 3 „Open Directory-Identifizierung“. Legen Sie fest, ob Sie Repliken Ihres Open Directory-Masters oder ein BDC für Ihren PDC haben wollen. In Kapitel 4 „Programme zur Planung und Verwaltung von Open Directory“ finden Sie entsprechende Richtlinien. Â Wählen Sie die Serveradministratoren sorgfältig aus. Stellen Sie Administratorkennwörter nur vertrauenswürdigen Benutzern zur Verfügung. Versuchen Sie, mit möglichst wenigen Administratoren auszukommen. Vermeiden Sie es, anderen Benutzern für nebensächliche Aufgaben wie das Ändern von Einstellungen in einem Benutzereintrag Administratorzugriff zu geben. Verzeichnisinformationen haben grundlegende Auswirkungen auf alle Benutzer, deren Computer diese Informationen verwenden. Verwalten von Open Directory auf einem entfernten Server Sie können das Programm „Server-Admin“ auf einem Computer mit Mac OS X 10.4 (oder neuer) installieren und damit Open Directory auf einem beliebigen Server in Ihrem lokalen Netzwerk und darüber hinaus verwalten. Sie können Open Directory auch über das Netzwerk mithilfe von Befehlszeilenprogrammen von einem Mac OS XComputer oder einem Nicht-Macintosh-Computer aus verwalten. Weitere Informationen hierzu finden Sie im Kapitel zur Serververwaltung im Handbuch Einführung. Kapitel 5 Konfigurieren von Open Directory-Diensten 93 Aktivieren von Open Directory Damit Sie die Open Directory-Einstellungen konfigurieren können, müssen Sie den Open Directory-Dienst im Programm „Server-Admin“ aktivieren. 1 2 3 4 5 Gehen Sie wie folgt vor, um den Open Directory-Dienst zu aktivieren: Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. Klicken Sie auf „Einstellungen“. Klicken Sie auf „Dienste“. Wählen Sie das Markierungsfeld „Open Directory“ aus. Klicken Sie auf „Sichern“. Konfigurieren eines eigenständigen Verzeichnisdiensts Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server so konfigurieren, dass nur die lokale Verzeichnis-Domain des Servers verwendet wird. Der Server liefert anderen Computern keine Verzeichnisinformationen und bezieht keine Verzeichnisinformationen von einem vorhandenen System. (Die lokale Verzeichnis-Domain kann nicht gemeinsam genutzt werden.) Wenn Sie Mac OS X Server so ändern, dass es Verzeichnisinformationen nur von seiner lokalen Verzeichnis-Domain abruft, sind Benutzereinträge und weitere Informationen, die der Server von einer gemeinsam genutzten Verzeichnis-Domain abgerufen hat, nicht mehr verfügbar. Die Benutzereinträge und weitere Informationen in der gemeinsam genutzten Verzeichnis-Domain werden gelöscht. Dateien und Ordner auf dem Server stehen möglicherweise Benutzern nicht mehr zur Verfügung, deren Accounts sich in der gemeinsam genutzten VerzeichnisDomain befinden. Wenn der Server ein Open Directory-Master ist und weitere Server mit ihm verbunden sind, ist Folgendes möglich: Â Auf den verbundenen Servern können Dienste gestört werden, wenn die BenutzerAccounts und weitere Informationen in der gemeinsam genutzten Verzeichnis-Domain nicht mehr verfügbar sind. Â Benutzer, deren Accounts sich in der gemeinsam genutzten Verzeichnis-Domain befinden, sind möglicherweise nicht in der Lage, auf Dateien und Ordner auf dem Open Directory-Master und auf anderen Servern zuzugreifen, die mit der zugehörigen gemeinsam genutzten LDAP-Verzeichnis-Domain verbunden waren. Sie können von den Verzeichnis- und Identifizierungsdaten des Open DirectoryMasters eine Kopie archivieren, bevor Sie sie in einen eigenständigen Open Directory-Verzeichnisdienst umwandeln. Weitere Informationen hierzu finden Sie im Abschnitt „Archivieren eines Open Directory-Masters“ auf Seite 230. Sie können Benutzer, Benutzergruppen und Computergruppen auch vom Open Directory-Master exportieren, bevor Sie sie in einen eigenständigen Verzeichnisdienst umwandeln. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung. 94 Kapitel 5 Konfigurieren von Open Directory-Diensten Gehen Sie wie folgt vor, um einen Server dafür zu konfigurieren, nur die eigene, nicht gemeinsam genutzte lokale Verzeichnis-Domain zu verwenden: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 5 Klicken Sie auf „Server umwandeln“. Der Konfigurationsassistent für Dienste wird geöffnet. 6 Wählen Sie „Eigenständiger Server“ und klicken Sie dann auf „Fortfahren“. 7 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie dann auf „Fortfahren“. 8 Wenn Sie sicher sind, dass Benutzer und Dienste keinen Zugriff auf die Verzeichnisdaten mehr benötigen, die in der gemeinsam genutzten Domain gespeichert sind, die der Server bereitgestellt hat oder mit der er verbunden war, klicken Sie auf „Schließen“. Konfigurieren eines Open Directory-Masters Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server als Open DirectoryMaster konfigurieren, sodass anderen Systemen Verzeichnisinformationen und Informationen zur Identifizierung zur Verfügung gestellt werden können. Mac OS X Server stellt Verzeichnisinformationen als Host einer gemeinsam genutzten LDAP-Verzeichnis-Domain zur Verfügung. Außerdem identifiziert der Server Benutzer, deren Accounts in der gemeinsam genutzten LDAP-Verzeichnis-Domain gespeichert sind. Ein Open Directory-Master verfügt über einen Open Directory-Kennwortserver, der alle herkömmlichen Identifizierungsmethoden unterstützt, die von den Mac OS X ServerDiensten benötigt werden. Außerdem kann ein Open Directory-Master eine KerberosIdentifizierung mit Gesamtauthentifizierung bereitstellen. Soll der Open Directory-Master eine Kerberos-Identifizierung mit Gesamtauthentifizierung bereitstellen, muss DNS im Netzwerk verfügbar sein und ordnungsgemäß konfiguriert werden, damit der vollständig qualifizierte DNS-Name des Open DirectoryMaster-Servers in seine IP-Adresse aufgelöst werden kann. Zudem muss DNS so konfiguriert sein, dass die IP-Adresse in den vollständig qualifizierten DNS-Namen des Servers aufgelöst werden kann. Kapitel 5 Konfigurieren von Open Directory-Diensten 95 Wichtig: Wenn Sie eine Open Directory-Replik in einen Open Directory-Master umwandeln, hängt die zu verwendende Vorgehensweise davon ab, ob die Replik den Master ersetzt oder zu einem zusätzlichen Master wird: Â Wenn eine Replik einen nicht funktionierenden Master ersetzen soll, befolgen Sie nicht diese Anleitungen, sondern die Anleitungen im Abschnitt „Umwandeln einer Open Directory-Replik in einen Master“ auf Seite 226. Â Wenn Sie eine Replik in einen zusätzlichen Master umwandeln wollen, müssen Sie die Replik zuerst deaktivieren, wie im Abschnitt „Deaktivieren einer Open DirectoryReplik“ auf Seite 229 beschrieben. Dann wandeln Sie die Replik anhand der Schritte in diesem Thema in einen Master um. Hinweis: Ein Server mit Mac OS X Server, der vor der Umwandlung in einen Open Directory-Master mit einem Verzeichnissystem verbunden war, bleibt auch nach der Umwandlung mit diesem anderen Verzeichnissystem verbunden. Der Server sucht in der zugehörigen gemeinsam genutzten LDAP-Verzeichnis-Domain nach Benutzereinträgen und weiteren Informationen, bevor die Suche in anderen verbundenen Verzeichnissystemen fortgesetzt wird. Gehen Sie wie folgt vor, um einen Server als Open Directory-Master zu konfigurieren: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. Wenn die Option „Funktion“ auf „Open Directory-Replik“ gesetzt ist und Sie einen neuen Open Directory-Master erstellen wollen, müssen Sie die Funktion des Servers in „Eigenständig“ ändern. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren eines eigenständigen Verzeichnisdiensts“ auf Seite 94. Wenn Sie eine in einen Master umzuwandelnde Open Directory-Replik nicht zuerst als eigenständigen Server einstellen, ersetzt die Replik den bisherigen Master, statt einen neuen Master zu erstellen. Weitere Informationen hierzu finden Sie im Abschnitt „Umwandeln einer Open Directory-Replik in einen Master“ auf Seite 226. 5 Klicken Sie auf „Ändern“. Damit wird der Konfigurationsassistent für Dienste geöffnet. 6 Wählen Sie „Open Directory-Master“ aus und klicken Sie auf „Fortfahren“. 96 Kapitel 5 Konfigurieren von Open Directory-Diensten 7 Geben Sie die folgenden Informationen des Master-Domain-Administrators ein und klicken Sie auf „Fortfahren“. Â Name, Kurzname, Benutzer-ID, Kennwort: Sie müssen einen Benutzer-Account für den primären Administrator des LDAP-Verzeichnisses erstellen. Bei diesem Account handelt es sich nicht um eine Kopie des Administrator-Accounts in der lokalen Verzeichnis-Domain des Servers. Wählen Sie für den LDAP-Verzeichnisadministrator einen anderen Namen und eine andere Benutzer-ID als für die Benutzer-Accounts in der lokalen Verzeichnis-Domain. Außerdem müssen Sie dem Verzeichnis-Administrator-Account eine Benutzer-ID unter 100 zuweisen, wenn Sie die Auflistung dieses Accounts im Anmeldefenster verhindern wollen, denn Accounts mit einer Benutzer-ID unter 100 werden im Anmeldefenster nicht angezeigt. Hinweis: Wenn Sie Ihren Open Directory-Master mit anderen Verzeichnis-Domains verbinden möchten, wählen Sie für jede Domain einen eindeutigen Namen und eine eindeutige Benutzer-ID. Verwenden Sie nicht die vorgegebene Benutzer-ID diradmin. Verwenden Sie einen Namen, der Aufschluss über die Verzeichnis-Domain gibt, die der Verzeichnisadministrator steuert. 8 Geben Sie die folgenden Informationen der Master-Domain ein und klicken Sie auf „Fortfahren“: Â Kerberos-Realm: Dieses Feld entspricht aufgrund der Voreinstellung dem DNSNamen des Servers in Großbuchstaben. Hierbei handelt es sich um die Konvention bei der Benennung eines Kerberos-Realms. Sie können falls erforderlich einen anderen Namen eingeben. Â Suchbeginn: Dieses Feld ist auf ein Suchbeginn-Suffix für das neue LDAP-Verzeichnis eingestellt, das vom Domain-Teil des DNS-Namens des Servers abgeleitet wird. Sie können ein anderes Suchbeginn-Suffix eingeben oder dieses Feld leer lassen. Wenn Sie dieses Feld leer lassen, wird das standardmäßige Suchbeginn-Suffix des LDAPVerzeichnisses verwendet. 9 Prüfen Sie die Einstellungen und klicken Sie dann auf „Schließen“. 10 Prüfen Sie, ob der Open Directory-Master korrekt funktioniert, indem Sie auf „Übersicht“ klicken (im oberen Bereich des Fensters „Server-Admin“, wenn „Open Directory“ in der Liste der Dienste ausgewählt ist). Der Status aller im Übersichtsbereich von Open Directory aufgeführten Objekte sollte „Arbeitet“ lautet. Wenn Kerberos weiterhin unterbrochen ist und Sie den Dienst ausführen möchten, lesen Sie den Abschnitt „Kerberos ist auf einem Open Directory-Master oder einer Replik gestoppt“ auf Seite 235. Kapitel 5 Konfigurieren von Open Directory-Diensten 97 Nach dem Konfigurieren eines Mac OS X Server-Computers als Open Directory-Master können Sie dessen Bindungsrichtlinie, Sicherheitsrichtlinie, Kennwortrichtlinie, Replikationsfrequenz und LDAP-Protokolloptionen ändern. Weitere Informationen hierzu finden Sie im Abschnitt „Festlegen von Optionen für einen Open Directory-Server“ auf Seite 217. Sie können andere Computer mit Mac OS X oder Mac OS X Server für den Zugriff auf die gemeinsam genutzte LDAP-Verzeichnis-Domain des Servers konfigurieren. Weitere Informationen hierzu finden Sie im Abschnitt „Verwenden erweiterter Einstellungen für den LDAP-Dienst“ auf Seite 155. Beschreiben des Anmeldevorgangs für Benutzer Wenn ein Mac OS X-Computer mit einer Verzeichnis-Domain verbunden und für das Anzeigen einer Benutzerliste im Mac OS X-Anmeldefenster konfiguriert ist, enthält die Liste u. U. den Eintrag „Andere Accounts“. Informieren Sie Benutzer, die sich noch nie an einem Netzwerk-Account angemeldet haben, dass sie auf „Andere“ klicken und dann den Account-Namen und das Kennwort eingeben müssen. Benutzer können ihren Computer so konfigurieren, dass keine Benutzerliste im Anmeldefenster angezeigt wird. Benutzer können diese Einstellung in der Systemeinstellung „Benutzer“ ändern, indem sie auf „Anmeldeoptionen“ klicken. Sie können einstellen, dass das Anmeldefenster eines Computers Netzwerkbenutzer in seiner Liste anzeigt, oder Sie können das Anzeigen der Liste unterbinden, indem Sie die Computereinstellungen entsprechend verwalten. Mit dem Arbeitsgruppenmanager können Sie die Anmeldeeinstellungen für den Computergruppen-Account konfigurieren, zu dem der Computer gehört. Wenn Sie Computer verwalten wollen, die nicht zu einem bestimmten Computergruppen-Account gehören, müssen Sie die Anmeldeeinstellungen für den Gastcomputer-Account konfigurieren. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung. Konfigurieren eines primären Domain-Controllers (PDC) Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server als Windows-PDC (primärer Domain-Controller) konfigurieren. Der PDC stellt eine Windows-Domain sowie Identifizierungsdienste für andere Domain-Mitglieder bereit, einschließlich der Identifizierung für die Domain-Anmeldung an Windows-Workstations. Wenn kein Domain-Mitgliedsserver verfügbar ist, kann der PDC-Server Windows-Dateiund Druckdienste zur Verfügung stellen sowie Benutzerprofile und Benutzerordner für Benutzer bereitstellen, die Benutzer-Accounts auf dem PDC haben. Wichtig: Stellen Sie beim Einrichten von Mac OS X Server als PDC sicher, dass es in Ihrem Netzwerk keinen weiteren PDC mit demselben Domain-Namen gibt. Wenn Sie weitere Domain-Controller konfigurieren wollen, müssen Sie sie als BDCs (BackupDomain-Controller) konfigurieren. 98 Kapitel 5 Konfigurieren von Open Directory-Diensten Gehen Sie wie folgt vor, um einen Windows-PDC zu konfigurieren: 1 Vergewissern Sie sich, dass der Server ein Open Directory-Master ist. Wenn Sie feststellen wollen, ob ein Server ein Open Directory-Master ist, müssen Sie das Programm „Server-Admin“ öffnen, auf das Dreieck links neben dem Server klicken, Open Directory in der Liste der Dienste auswählen und anschließend auf „Übersicht“ klicken. Die erste Zeile der Statusinformationen gibt die Funktion des Open Directory-Servers an. 2 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 3 Klicken Sie zuerst auf „Einstellungen“ und dann auf „Dienste“. 4 Wählen Sie das Markierungsfeld „SMB“ aus und klicken Sie dann auf „Sichern“. 5 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 6 Wählen Sie „SMB“ in der Liste der Dienste aus. 7 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 8 Wählen Sie „Primärer Domain-Controller (PDC)“ aus dem Einblendmenü „Funktion“ aus und geben Sie Folgendes ein: Â Beschreibung: Diese Beschreibung wird im Fenster „Netzwerkumgebung“ auf WindowsComputern angezeigt und ist optional. Â Computername: Geben Sie den Namen ein, der Windows-Benutzern angezeigt werden soll, wenn sie eine Verbindung zum Server herstellen. Hierbei handelt es sich um den NetBIOS-Namen des Servers. Der Name darf nicht länger als 15 Zeichen sein und darf keine Sonderzeichen oder Satzzeichen enthalten. Passen Sie den Servernamen ggf. an seinen nicht qualifizierten DNS-Hostnamen an. Wird Ihr Server auf dem DNS-Server beispielsweise mit „server.beispiel.com“ bezeichnet, nennen Sie Ihren Server „server“. Â Domäne: Geben Sie den Namen der Windows-Domain ein, die der Server bereitstellen soll. Der Domain-Name darf maximal 15 Zeichen lang sein und kann nicht „workgroup“ lauten. 9 Klicken Sie auf „Sichern“. 10 Geben Sie den Namen und das Kennwort eines LDAP-Verzeichnisadministrator-Accounts ein und klicken Sie dann auf „OK“. Bei der Identifizierung müssen Sie einen LDAP-Verzeichnisadministrator-Account verwenden. Es ist nicht möglich, zum Erstellen eines PDCs einen lokalen Administrator-Account zu verwenden, etwa den primären Serveradministrator-Account (Benutzer-ID 501). Nach dem Einrichten eines PDCs können Sie die Zugriffsbeschränkungen, die Detailstufe für Anmeldungen, die Code-Seite, das Durchsuchen von Domains oder die WINSRegistrierung ändern. Danach können Sie nicht aktive Windows-Dienste starten. Weitere Informationen hierzu finden Sie im Handbuch Netzwerkdienste – Administration. Kapitel 5 Konfigurieren von Open Directory-Diensten 99 Konfigurieren von Windows Vista für die Domain-Anmeldung Sie können die Domain-Anmeldung auf einem Windows Vista-Computer aktivieren, indem Sie den Computer der Windows-Domain eines Mac OS X Server-PDCs hinzufügen. Für das Hinzufügen zur Windows-Domain sind Name und Kennwort eines LDAP-Verzeichnisadministrator-Accounts erforderlich. Sie können diese Aufgabe an einen Benutzer delegieren, der über einen lokalen Administrator-Account auf dem Windows-Computer verfügt. In einem solchen Fall empfiehlt es sich, einen temporären LDAP-Verzeichnisadministrator-Account mit begrenzten Zugriffsrechten zu erstellen. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung. Hinweis: Nur die Editionen „Windows Vista Ultimate“ und „Windows Vista Business“ können mit einer Domain verbunden werden. Gehen Sie wie folgt vor, um einen Windows Vista-Computer einer Windows-Domain hinzuzufügen: 1 Melden Sie sich mithilfe eines lokalen Administrator-Account bei Windows Vista an. 2 Öffnen Sie die Systemsteuerung und wählen Sie „System“ aus. 3 Klicken Sie auf „Einstellungen ändern“. 4 Klicken Sie zuerst auf „Computername“ und dann auf „Ändern“. 5 Geben Sie einen Computernamen ein, klicken Sie auf „Domäne“, geben Sie den Domain-Namen des Mac OS X Server-PDCs ein und klicken Sie auf „OK“. Suchen Sie den Domain-Namen des Servers und öffnen Sie das Programm „ServerAdmin“ auf dem Server oder auf einem Administratorcomputer. Wählen Sie „SMB“ in der Liste der Dienste aus und klicken Sie zuerst auf „Einstellungen“ und anschließend auf „Allgemein“. 6 Geben Sie den Namen und das Kennwort eines LDAP-Verzeichnisadministrators ein und klicken Sie auf „Sichern“. Konfigurieren von Windows XP für die Domain-Anmeldung Sie können die Domain-Anmeldung auf einem Windows XP-Computer aktivieren, indem Sie den Computer der Windows-Domain eines Mac OS X Server-PDCs hinzufügen. Für das Hinzufügen zur Windows-Domain sind Name und Kennwort eines LDAP-Verzeichnisadministrator-Accounts erforderlich. Sie können diese Aufgabe an einen Benutzer delegieren, der über einen lokalen Administrator-Account auf dem Windows-Computer verfügt. In einem solchen Fall empfiehlt es sich, einen temporären LDAP-Verzeichnisadministrator-Account mit begrenzten Zugriffsrechten zu erstellen. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung. 100 Kapitel 5 Konfigurieren von Open Directory-Diensten Gehen Sie wie folgt vor, um einen Windows XP-Computer einer Windows-Domain hinzuzufügen: 1 Melden Sie sich mithilfe eines lokalen Administrator-Account bei Windows XP an. 2 Öffnen Sie die Systemsteuerung und wählen Sie „System“ aus. 3 Klicken Sie zuerst auf „Computername“ und dann auf „Ändern“. 4 Geben Sie einen Computernamen ein, klicken Sie auf „Domäne“, geben Sie den Domain-Namen des Mac OS X Server-PDCs ein und klicken Sie auf „OK“. Suchen Sie den Domain-Namen des Servers und öffnen Sie das Programm „ServerAdmin“ auf dem Server oder auf einem Administratorcomputer. Wählen Sie „SMB“ in der Liste der Dienste aus und klicken Sie zuerst auf „Einstellungen“ und anschließend auf „Allgemein“. 5 Geben Sie den Namen und das Kennwort eines LDAP-Verzeichnisadministrators ein und klicken Sie auf „OK“. Konfigurieren von Windows 2000 für die Domain-Anmeldung Sie können die Domain-Anmeldung auf einem Windows 2000-Computer aktivieren, indem Sie den Computer der Windows-Domain eines Mac OS X Server-PDCs hinzufügen. Für das Hinzufügen zur Windows-Domain sind Name und Kennwort eines LDAP-Verzeichnisadministrator-Accounts erforderlich. Sie können diese Aufgabe an einen Benutzer delegieren, der über einen lokalen Administrator-Account auf dem Windows-Computer verfügt. In einem solchen Fall empfiehlt es sich, einen temporären LDAP-Verzeichnisadministrator-Account mit begrenzten Zugriffsrechten zu erstellen. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung. Gehen Sie wie folgt vor, um einen Windows 2000-Computer einer Windows-Domain hinzuzufügen: 1 Melden Sie sich mithilfe eines lokalen Administrator-Account bei Windows 2000 an. 2 Öffnen Sie die Systemsteuerung und wählen Sie „System“ aus. 3 Klicken Sie zuerst auf „Netzwerkidentifizierung“ und dann auf „Eigenschaften“. 4 Geben Sie einen Computernamen ein, klicken Sie auf „Domäne“, geben Sie den Domain-Namen des Mac OS X Server-PDCs ein und klicken Sie auf „OK“. Suchen Sie den Domain-Namen des Servers und öffnen Sie das Programm „ServerAdmin“ auf dem Server oder auf einem Administratorcomputer. Wählen Sie „SMB“ in der Liste der Dienste aus und klicken Sie zuerst auf „Einstellungen“ und anschließend auf „Allgemein“. 5 Geben Sie den Namen und das Kennwort eines LDAP-Verzeichnisadministrators ein und klicken Sie auf „Sichern“. Kapitel 5 Konfigurieren von Open Directory-Diensten 101 Konfigurieren einer Open Directory-Replik Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server als Replik eines Open Directory-Masters konfigurieren, um anderen Systemen die gleichen Verzeichnisinformationen und Informationen zur Identifizierung zu übermitteln wie der Master. Der Replikserver ist Host einer schreibgeschützten Kopie der LDAP-Verzeichnis-Domain des Masters. Der Replikserver dient auch als Host einer Kopie des Open Directory-Kennwortservers und des Kerberos-KDC (Key Distribution Center) mit Schreib- und Lesezugriff. Open Directory-Repliken bieten folgende Vorteile: Â In einem Weitverkehrsnetzwerk (WAN) von lokalen Netzwerken (LAN), die über langsame Verbindungen verbunden sind, ermöglichen Repliken in den LANs Servern und Client-Computern schnellen Zugriff auf Benutzer-Accounts und andere Verzeichnisinformationen. Â Eine Replik erhöht die Ausfallsicherheit dank redundanter Daten. Wenn der Open Directory-Master ausfällt, werden mit ihm verbundene Computer auf eine nahegelegene Replik umgeschaltet. Diese automatische Ausfallumschaltung ist eine Funktion der Versionen 10.4 und 10.5 von Mac OS X und Mac OS X Server. Hinweis: Wenn in Ihrem Netzwerk Mac OS X Server der Versionen 10.4 und 10.5 integriert sind, kann die eine Version nicht als Replik eines Masters der anderen Version eingesetzt werden. Ein Open Directory-Master der Version 10.5 kann keine Replik für Mac OS X Server 10.4 erzeugen. Ebenso erzeugt ein Open Directory-Master von Mac OS X Server 10.4 keine Replik für Mac OS X Server 10.5. Beim Konfigurieren einer Open Directory-Replik müssen alle Verzeichnis- und Identifizierungsdaten vom Open Directory-Master in die Replik kopiert werden. In Abhängigkeit von der Größe der Verzeichnis-Domain kann die Replikation mehrere Sekunden oder Minuten dauern. Eine Replikation über eine langsame Netzwerkverbindung kann viel Zeit in Anspruch nehmen. Während der Replikation stellt der Master keine Verzeichnis- oder Identifizierungsdienste zur Verfügung. Benutzer-Accounts im LDAP-Master-Verzeichnis können erst zum Anmelden oder Identifizieren bei Diensten verwendet werden, wenn die Replikation abgeschlossen ist. Konfigurieren Sie eine Replik, bevor das LDAP-Verzeichnis des Masters vollständig aufgefüllt ist, oder zu einer Tageszeit, zu der der Verzeichnisdienst nicht benötigt wird. Dadurch hält sich die Unterbrechung des Verzeichnisdiensts in Grenzen. Das Konfigurieren einer weiteren Replik schirmt Clients des Verzeichnisdiensts gegen Probleme ab, wenn der Master nicht verfügbar ist. 102 Kapitel 5 Konfigurieren von Open Directory-Diensten Ein Servercomputer mit Mac OS X Server, der vor der Umwandlung in eine Open Directory-Replik mit einem anderen Verzeichnissystem verbunden war, bleibt auch nach der Umwandlung mit diesem anderen Verzeichnissystem verbunden. Der Server sucht in der zugehörigen gemeinsam genutzten LDAP-Verzeichnis-Domain nach Benutzereinträgen und weiteren Informationen, bevor die Suche in anderen verbundenen Verzeichnissystemen fortgesetzt wird. Gehen Sie wie folgt vor, um einen Server als Host einer Replik eines Open DirectoryMasters zu konfigurieren: 1 Stellen Sie sicher, dass der Master, die zu erstellende Replik und alle Firewalls zwischen ihnen für die SSH-Kommunikation (Port 22) konfiguriert sind. Im Programm „Server-Admin“ können Sie SSH für Mac OS X Server aktivieren. Wählen Sie den Server in der Liste der Server aus und klicken Sie auf „Einstellungen“. Klicken Sie anschließend auf „Allgemein“ und wählen Sie die Option „Entfernte Anmeldung (SSH)“ aus. Stellen Sie sicher, dass der SSH-Zugriff auf dem zu erstellenden Master nicht auf bestimmte Benutzer oder Gruppen beschränkt ist (mithilfe von SACLs). Sonst verfügt das Programm „Server-Admin“ während der Erstellung der Replik nicht über die erforderlichen Berechtigungen. Unter „Einstellungen“ > „Zugriff“ im Programm „Server-Admin“ können Sie SACLs temporär deaktivieren. Weitere Informationen zu SSH finden Sie im Handbuch Einführung. Weitere Informationen zum Zulassen der SSH-Kommunikation über die Firewall von Mac OS X Server finden Sie im Handbuch Netzwerkdienste – Administration. 2 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 3 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 4 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 5 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 6 Klicken Sie auf „Ändern“. Der Konfigurationsassistent für Dienste wird geöffnet. 7 Wählen Sie „Open Directory-Replik“ aus und klicken Sie auf „Fortfahren“. 8 Geben Sie die folgenden erforderlichen Informationen ein: Â IP-Adresse oder DNS des Open Directory-Masters: Geben Sie die IP-Adresse oder den DNS-Namen des Servers ein, der als Open Directory-Master fungiert. Â „root“-Kennwort des Open Directory-Masters: Geben Sie das Kennwort des root-Benutzers des Open Directory-Master-Systems ein (Benutzername des Systemadministrators). Â Domain-Administratorkurzname: Geben Sie den Namen eines AdministratorAccounts einer LDAP-Verzeichnis-Domain ein. Â Domain-Administratorkennwort: Geben Sie das Kennwort des Administrator-Accounts ein, dessen Name Sie angegeben haben. Kapitel 5 Konfigurieren von Open Directory-Diensten 103 9 Klicken Sie auf „Fortfahren“. 10 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie dann auf „Fortfahren“. 11 Klicken Sie auf „Schließen“. 12 Vergewissern Sie sich, dass Datum, Uhrzeit und Zeitzone von Replik und Master richtig sind. Die Replik und der Master sollten denselben Netzwerk-Zeitserver verwenden, sodass ihre Systemuhren synchron sind. Nach dem Konfigurieren einer Open Directory-Replik verbinden sich bei Bedarf weitere Computer. Auf Computern mit der Version 10.3 oder 10.4 von Mac OS X oder Mac OS X Server ist eine Liste der Open Directory-Repliken gespeichert. Kann einer dieser Computer keinen Kontakt zum Open Directory-Master für Verzeichnis- und Identifizierungsdienste herstellen, verbindet er sich mit der nächstgelegenen Replik des Masters. Sie können Mac OS X-Computer dafür konfigurieren, eine Verbindung zu einer Open Directory-Replik statt zum Open Directory-Master herzustellen, um Verzeichnis- und Identifizierungsdienste in Anspruch zu nehmen. Auf jedem Mac OS X-Computer können Sie das Programm „Verzeichnisdienste“ verwenden, um eine LDAPv3-Konfiguration für den Zugriff auf das LDAP-Verzeichnis der Replik zu erstellen. Sie können auch einen DHCP-Server dafür konfigurieren, das LDAP-Verzeichnis der Replik an Mac OS X-Computer zu übermitteln, die die Adresse eines LDAP-Servers vom DHCPServer beziehen. Die Anleitungen finden Sie in den Abschnitten „Verwenden erweiterter Einstellungen für den LDAP-Dienst“ auf Seite 155 und „Definieren von automatischen Suchpfaden“ auf Seite 150. Der Open Directory-Master aktualisiert die Replik. Sie können den Master dafür konfigurieren, seine Repliken in einem bestimmten Intervall oder sofort bei jeder Änderung des Master-Verzeichnisses zu aktualisieren. Weitere Informationen hierzu finden Sie im Abschnitt „Planen der Replikation eines Open Directory-Masters oder primären DomainControllers (PDC)“ auf Seite 224. Erstellen mehrerer Repliken eines Open Directory-Masters Wenn Sie mehrere Server als Replik eines Open Directory-Masters einrichten wollen, müssen Sie die Repliken nacheinander erstellen. Wenn Sie versuchen, zwei Repliken gleichzeitig zu erstellen, wird der erste Replikationsversuch gelingen, der zweite schlägt dagegen fehl. Ein anschließender Versuch, die zweite Replik zu erzeugen, sollte dann wieder gelingen. Sie können bis zu 32 Repliken eines Open Directory-Masters erstellen. Diese direkten Mitglieder des Open Directory-Master-Servers werden als Relais bezeichnet. Jedes Relais kann seinerseits 32 Repliken haben, sodass insgesamt 1056 Repliken in einer zweistufigen Hierarchie möglich sind. 104 Kapitel 5 Konfigurieren von Open Directory-Diensten Konfigurieren von Open Directory-Relais für die kaskadierende Replikation Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server als Replik oder Relais eines Open Directory-Masters konfigurieren, um anderen Computern die gleichen Verzeichnis- und Identifizierungsinformationen zu übermitteln wie der Master. Auf ein Relais treffen die folgenden zwei Bedingungen zu: Â Es ist eine Replik eines Open Directory-Masters (ein direktes Mitglied). Â Es verfügt über Repliken (Unterstützung von bis zu 32 Repliken). Von einem Relais wird eine Replik auf dieselbe Weise konfiguriert wie von einem Open Directory-Master. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren einer Open Directory-Replik“ auf Seite 102. Konfigurieren eines Servers als BDC Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server als Windows-BDC konfigurieren. Der BDC bietet eine automatische Ausfallumschaltung (Failover) und eine automatische Sicherung für die Windows-Domain-Anmeldung und für weitere WindowsClient-Anfragen für Identifizierungs- und Verzeichnisdienste. Der BDC-Server kann weitere Windows-Dienste (SMB-Dienste) bereitstellen, einschließlich Dateidienst, Druckdienst, Suchdienst und WINS-Dienst (Windows Internet Name Service). Der BDC kann Benutzerordner für Benutzer bereitstellen, die über BenutzerAccounts auf dem PDC/BDC verfügen. Gehen Sie wie folgt vor, um einen Windows-BDC zu konfigurieren: 1 Vergewissern Sie sich, dass der Server eine Open Directory-Replik ist. Wenn Sie feststellen wollen, ob ein Server eine Open Directory-Replik ist, müssen Sie das Programm „Server-Admin“ öffnen und eine Verbindung zum Server herstellen. Klicken Sie auf das Dreieck links neben dem Server (um die Liste zu erweitern), wählen Sie „Open Directory“ in der Liste der Dienste aus und klicken Sie dann auf „Übersicht“. Die erste Zeile der Statusinformationen gibt die Open Directory-Funktion des Servers an. 2 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 3 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 4 Wählen Sie „SMB“ in der Liste der Dienste aus. 5 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. Kapitel 5 Konfigurieren von Open Directory-Diensten 105 6 Wählen Sie „Sicherungs-Domain-Controller (BDC)“ aus dem Einblendmenü „Funktion“ aus und geben Sie Folgendes ein: Â Beschreibung: Diese Beschreibung wird im Fenster „Netzwerkumgebung“ auf WindowsComputern angezeigt und ist optional. Â Computername: Geben Sie den Namen ein, der Windows-Benutzern angezeigt werden soll, wenn sie eine Verbindung zum Server herstellen. Hierbei handelt es sich um den NetBIOS-Namen des Servers. Der Name darf nicht länger als 15 Zeichen sein und darf keine Sonderzeichen oder Satzzeichen enthalten. Passen Sie den Servernamen ggf. an seinen nicht qualifizierten DNS-Hostnamen an. Wird Ihr Server auf dem DNSServer beispielsweise mit „server.beispiel.com“ bezeichnet, nennen Sie Ihren Server „server“. Â Domäne: Geben Sie den Namen der Windows-Domain ein, die der Server bereitstellen soll. Der Domain-Name darf maximal 15 Zeichen lang sein und kann nicht „workgroup“ lauten. 7 Klicken Sie auf „Sichern“. 8 Geben Sie den Namen und das Kennwort eines Benutzer-Accounts ein, der das LDAPVerzeichnis auf dem Server verwalten kann, und klicken Sie auf „OK“. Bei der Identifizierung müssen Sie einen LDAP-Verzeichnisadministrator-Account verwenden. Es ist nicht möglich, zum Erstellen eines BDCs einen lokalen Administrator-Account zu verwenden, etwa den primären Serveradministrator-Account (Benutzer-ID 501). Nach dem Einrichten eines BDCs möchten Sie möglicherweise die Zugriffsbeschränkungen, die Detailstufe für Anmeldungen, die Code-Seite, das Durchsuchen von Domains oder die WINS-Registrierung ändern. Danach können Sie nicht aktive Windows-Dienste starten. Weitere Informationen hierzu finden Sie im Handbuch Netzwerkdienste – Administration. Konfigurieren der Open Directory-Ausfallumschaltung (Failover) Wenn ein Open Directory-Master oder seine Repliken nicht mehr verfügbar sind, finden die zugehörigen Client-Computer mit Mac OS X bzw. Mac OS X Server der Versionen 10.3 bis 10.5 automatisch eine verfügbare Replik und stellen eine Verbindung zu ihr her. Repliken erlauben Clients nur das Lesen von Verzeichnisinformationen. Verzeichnisinformationen zu einer Replik können mit Verwaltungsprogrammen, wie z. B. dem Arbeitsgruppenmanager, nicht bearbeitet werden. Benutzer, deren Kennworttyp „Open Directory“ ist, können ihre Kennwörter auf Computern ändern, die mit Open Directory-Repliken verbunden sind. Die Repliken synchronisieren Kennwortänderungen mit dem Master. Wenn der Master eine gewisse Zeit nicht verfügbar ist, synchronisieren die Repliken Kennwortänderungen mit dem Master, sobald er wieder verfügbar wird. 106 Kapitel 5 Konfigurieren von Open Directory-Diensten Wenn der Open Directory-Master dauerhaft ausfällt und Sie ein aktuelles Archiv seiner Daten besitzen, können Sie die Daten auf einem neuen Master wiederherstellen. Alternativ dazu können Sie eine Replik als Master verwenden. Weitere Informationen finden Sie in den Abschnitten „Wiederherstellen eines Open Directory-Masters“ auf Seite 231 und „Umwandeln einer Open Directory-Replik in einen Master“ auf Seite 226. Hinweis: Verwaltet ein ausgefallener Open Directory-Master bzw. eine Replik ClientComputer mit Mac OS X 10.2 oder Mac OS X Server 10.2 (oder älter), gibt es für diese Computer und Server keine automatische Ausfallumschaltung zu einer anderen Replik. Wenn Sie einen ausgefallenen Master ersetzen, indem Sie eine Replik in den Master umwandeln, können Sie manuell jeden Computer und jeden Server erneut so konfigurieren, dass er sich mit diesem neuen Master oder einer seiner Repliken verbindet. Hierzu müssen Sie mithilfe des Programms „Verzeichnisdienste“ für jeden Computer bzw. Server eine LDAPv3-Konfiguration erstellen, die angibt, wie der Computer auf den neuen Master oder eine verfügbare Replik zugreift. Weitere Informationen hierzu finden Sie im Abschnitt „Verwenden erweiterter Einstellungen für den LDAP-Dienst“ auf Seite 155. Konfigurieren einer Verbindung zu einem Verzeichnisserver Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server dafür konfigurieren, Benutzereinträge und andere Verzeichnisinformationen aus der gemeinsam genutzten Verzeichnis-Domain eines anderen Servers abzurufen. Der andere Server übernimmt auch die Identifizierung für die Verzeichnisinformationen. Mac OS X Server bezieht weiterhin Verzeichnisinformationen aus seiner eigenen lokalen Verzeichnis-Domain und stellt die Identifizierung für diese lokalen Verzeichnisinformationen bereit. Wichtig: Wenn Sie Mac OS X Server so ändern, dass es mit einem anderen Verzeichnissystem verbunden ist, statt als Open Directory-Master zu fungieren, wird die zugehörige gemeinsam genutzte LDAP-Verzeichnis-Domain deaktiviert. Dies hat folgende Auswirkungen: Â Benutzereinträge und weitere Informationen in der gemeinsam genutzten Verzeichnis-Domain werden gelöscht. Â Wenn andere Server mit der Verzeichnis-Domain des Masters verbunden waren, können ihre Dienste unterbrochen werden, wenn die Benutzer-Accounts und andere Informationen in der deaktivierten Verzeichnis-Domain nicht mehr verfügbar sind. Â Es kann sein, dass Benutzer, die Accounts in der deaktivierten Verzeichnis-Domain hatten, nicht mehr in der Lage sind, auf Dateien und Ordner auf dem Open DirectoryMaster und auf anderen Servern zuzugreifen, die mit der Verzeichnis-Domain des Masters verbunden waren. Kapitel 5 Konfigurieren von Open Directory-Diensten 107 Gehen Sie wie folgt vor, um einen Server dafür zu konfigurieren, Verzeichnisdienste von einem vorhandenen System zu beziehen: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 5 Klicken Sie auf „Ändern“. Der Konfigurationsassistent für Dienste wird geöffnet. 6 Wählen Sie „Mit einem Verzeichnisserver verbunden“ aus und klicken Sie dann auf „Fortfahren“. 7 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie dann auf „Fortfahren“. 8 Wenn der Server ein Open Directory-Master war und Sie sicher sind, dass Benutzer und Dienste keinen Zugriff auf die Verzeichnisdaten mehr benötigen, die in der bisher vom Server bereitgestellten gemeinsam genutzten Domain gespeichert sind, klicken Sie auf „Schließen“. 9 Klicken Sie auf die Taste „Verzeichnisdienste öffnen“, um den Zugriff auf mindestens ein Verzeichnissystem zu konfigurieren. Weitere Informationen zum Konfigurieren des Zugriffs auf eine bestimmte Art von Verzeichnisdienst finden Sie in Kapitel 7 „Verwalten von Verzeichnis-Clients“. Wenn Sie Mac OS X Server 10.4 (oder neuer) mit einer Verzeichnis-Domain von Mac OS X Server 10.3 (oder älter) verbinden, können Benutzer, die in der älteren Verzeichnis-Domain definiert wurden, nicht mit der NTLMv2-Methode identifiziert werden. Diese Methode kann erforderlich sein, um einige Windows-Benutzer sicher für die Windows-Dienste von Mac OS X Server 10.4 (oder neuer) zu identifizieren. Der Open Directory-Kennwortserver in Mac OS X Server 10.4 (oder neuer) unterstützt die NTLMv2-Identifizierung, NTLMv2 wird vom Kennwortserver in Mac OS X Server 10.3 (oder älter) jedoch nicht unterstützt. Wenn Sie Mac OS X Server 10.4 (oder neuer) für den Zugriff auf eine Verzeichnis-Domain unter Mac OS X Server 10.2 (oder älter) konfigurieren, müssen Sie beachten, dass in der älteren Verzeichnis-Domain definierte Benutzer nicht mit der Methode „MS-CHAPv2“ identifiziert werden können. Diese Methode kann erforderlich sein, um Benutzer sicher für den VPN-Dienst von Mac OS X Server 10.4 (oder neuer) zu identifizieren. Open Directory in Mac OS X Server 10.4 unterstützt die Identifizierung mit MS-CHAPv2, der Kennwortserver in Mac OS X Server 10.2 unterstützt MS-CHAPv2 jedoch nicht. 10 Wenn der zu konfigurierende Server Zugriff auf ein Verzeichnissystem hat, das auch einen Kerberos-Realm bereitstellt, können Sie den Server dem Kerberos-Realm hinzufügen. 108 Kapitel 5 Konfigurieren von Open Directory-Diensten Für das Hinzufügen zum Kerberos-Realm benötigen Sie den Namen und das Kennwort eines Kerberos-Administrators oder eines Benutzers mit entsprechender Berechtigung. Weitere Informationen hierzu finden Sie im Abschnitt „Hinzufügen eines Servers zu einem Kerberos-Realm“ auf Seite 118. Konfigurieren eines Servers als Domain-Mitglied des Mac OS X Server-PDCs Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server für den Beitritt zu einer Windows-Domain konfigurieren, die von einem Mac OS X Server-PDC bereitgestellt wird. Ein einer Windows-Domain beigetretener Server kann Datei-, Druck- und weitere Dienste für Benutzer bereitstellen, die über Accounts auf dem PDC verfügen. Der Domain-Mitgliedsserver ruft Identifizierungsdienste vom PDC oder von einem Sicherungs-Domain-Controller ab. Der Server kann Benutzerprofile und Benutzerordner für Benutzer bereitstellen, die über Benutzer-Accounts auf dem PDC verfügen. Der Domain-Mitgliedsserver stellt keine Identifizierungsdienste für andere DomainMitgliedsserver bereit. Gehen Sie wie folgt vor, um Mac OS X Server der Windows-Domain eines Mac OS X Server-PDCs hinzuzufügen: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „SMB“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 5 Wählen Sie „Domänenmitglied“ aus dem Einblendmenü „Funktion“ aus und geben Sie dann Folgendes ein: Â Beschreibung: Diese Beschreibung wird im Fenster „Netzwerkumgebung“ von Windows XP und Windows 2000 angezeigt und ist optional. Â Computername: Geben Sie den Namen ein, der Windows-Benutzern angezeigt werden soll, wenn sie eine Verbindung zum Server herstellen. Hierbei handelt es sich um den NetBIOS-Namen des Servers. Der Name darf nicht länger als 15 Zeichen sein und darf keine Sonderzeichen oder Satzzeichen enthalten. Passen Sie den Servernamen ggf. an seinen nicht qualifizierten DNS-Hostnamen an. Wird Ihr Server auf dem DNS-Server beispielsweise mit „server.beispiel.com“ bezeichnet, nennen Sie Ihren Server „server“. Â Domäne: Geben Sie den Namen der Windows-Domain ein, der der Server beitritt. Die Domain muss von einem Mac OS X Server-PDC bereitgestellt werden. Der Name darf maximal 15 Zeichen lang sein und kann nicht „workgroup“ lauten. Kapitel 5 Konfigurieren von Open Directory-Diensten 109 6 Klicken Sie auf „Sichern“. 7 Geben Sie den Namen und das Kennwort eines LDAP-Verzeichnisadministrator-Accounts ein und klicken Sie dann auf „OK“. Bei der Identifizierung müssen Sie einen LDAP-Verzeichnisadministrator-Account verwenden. Es ist nicht möglich, für den Beitritt zu einer Windows-Domain einen lokalen Administrator-Account zu verwenden, etwa den primären Serveradministrator-Account (Benutzer-ID 501). Nach dem Einrichten eines Windows-Domain-Mitglieds können Sie die Zugriffsbeschränkungen, die Detailstufe für Anmeldungen, die Code-Seite, das Durchsuchen von Domains oder die WINS-Registrierung ändern. Danach können Sie nicht aktive Windows-Dienste starten. Weitere Informationen hierzu finden Sie im Handbuch Netzwerkdienste – Administration. Konfigurieren eines Servers als Active Directory-Domain-Mitglied Mithilfe der Programme „Server-Admin“ und „Verzeichnisdienste“ können Sie Mac OS X Server für den Beitritt zu einer Active Directory-Domain konfigurieren, die von einem Windows 2000- oder Windows 2003-Server bereitgestellt wird. Ein einer Active Directory-Domain beigetretener Server kann Datei-, Druck- und andere Dienste für Benutzer bereitstellen, die über Accounts in der Active DirectoryDomain verfügen. Der Domain-Mitgliedsserver erhält Identifizierungsdienste von Active Directory. Der Domain-Mitgliedsserver stellt keine Identifizierungsdienste für andere Domain-Mitgliedsserver bereit. Gehen Sie wie folgt vor, um Mac OS X Server der Active Directory-Domain eines Windows-Servers hinzuzufügen: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 5 Klicken Sie auf „Ändern“. Der Konfigurationsassistent für Dienste wird geöffnet. 6 Wählen Sie „Mit einem Verzeichnisserver verbunden“ aus und klicken Sie dann auf „Fortfahren“. 7 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie dann auf „Fortfahren“. 8 Klicken Sie auf „Schließen“. 9 Klicken Sie auf „Verzeichnisdienste öffnen“. 110 Kapitel 5 Konfigurieren von Open Directory-Diensten 10 Klicken Sie auf das Schloss in der unteren linken Ecke des Programms „Verzeichnisdienste“ und identifizieren Sie sich, wenn Sie dazu aufgefordert werden. 11 Klicken Sie auf „Erweiterte Einstellungen einblenden“. 12 Klicken Sie auf „Verzeichnisserver“ (oben im Fenster). 13 Klicken Sie auf die Taste „Hinzufügen“ (+). 14 Wählen Sie aus dem Einblendmenü „Ein neues Verzeichnis hinzufügen vom Typ“ die Option „Active Directory“ aus und geben Sie dann Folgendes ein: Â Active Directory-Domain: Hierbei handelt es sich um den DNS-Namen oder die IP-Adresse des Active Directory-Servers. Â Computer-ID: Bearbeiten Sie ggf. die ID, die Active Directory für Ihren Server verwenden soll. Hierbei handelt es sich um den NetBIOS-Namen des Servers. Der Name darf nicht länger als 15 Zeichen sein und darf keine Sonderzeichen oder Satzzeichen enthalten. Passen Sie den Servernamen ggf. an seinen nicht qualifizierten DNS-Hostnamen an. Wird Ihr Server auf dem DNS-Server beispielsweise mit „server.beispiel.com“ bezeichnet, nennen Sie Ihren Server „server“. Â AD-Administrator-Benutzername und -Kennwort: Geben Sie den Benutzernamen und das Kennwort des Active Directory-Administrators ein. 15 Klicken Sie auf „OK“ und schließen Sie das Programm „Verzeichnisdienste“. 16 Klicken Sie auf „Kerberos-Eintrag hinzufügen“, um den Server dem Active DirectoryKerberos-Realm hinzuzufügen. 17 Geben Sie die folgenden Informationen ein: Â Administratorname: Geben Sie den Benutzernamen des Kerberos-Serveradministrators ein. Â Kennwort: Geben Sie das Kennwort des Kerberos-Serveradministrators ein. Â Realm-Name: Geben Sie den Realm-Namen des Kerberos-Servers ein. Â DNS/Bonjour-Name des KDC: Geben Sie den DNS- oder Bonjour-Namen des KerberosServers ein. 18 Klicken Sie auf „OK“. 19 Wählen Sie „SMB“ in der Liste der Dienste aus. 20 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 21 Prüfen Sie, ob der Server jetzt ein Mitglied der Active Directory-Domain ist. Die optionale Beschreibung des Servers, die im Fenster „Netzwerkumgebung“ von Windows-Computern angezeigt, kann geändert werden. Nach dem Konfigurieren eines Active Directory-Domain-Mitglieds empfiehlt es sich, die Zugriffsbeschränkungen, die Detailstufe für Anmeldungen, die Code-Seite, das Durchsuchen von Domains oder die WINS-Registrierung zu ändern. Danach können Sie Windows-Dienste starten, die noch nicht aktiv sind. Weitere Informationen hierzu finden Sie im Handbuch Netzwerkdienste – Administration. Kapitel 5 Konfigurieren von Open Directory-Diensten 111 Konfigurieren der Kerberos-Identifizierung mit Gesamtauthentifizierung Folgende drei Aufgaben sind beim Konfigurieren der Kerberos-Identifizierung für die Gesamtauthentifizierung auszuführen: Â DNS muss im Netzwerk verfügbar gemacht und so konfiguriert werden, dass der vollständig qualifizierte DNS-Name des Open Directory-Master-Servers (oder eines anderen Kerberos-Servers) zur zugehörigen IP-Adresse aufgelöst wird. Zudem muss DNS so konfiguriert sein, dass die IP-Adresse in den vollständig qualifizierten DNSNamen des Servers aufgelöst werden kann. Â Ein Administrator muss ein Verzeichnissystem für das Bereitstellen eines KerberosRealms konfigurieren. Weitere Informationen zum Konfigurieren von Mac OS X Server für das Bereitstellen eines Kerberos-Realms finden Sie im Abschnitt „Konfigurieren eines Open Directory-Kerberos-Realms“ auf Seite 113. Â Ein Kerberos-Administrator eines Open Directory-Masters kann die Berechtigung für das Hinzufügen von Servern zum Kerberos-Realm des Open Directory-Masters delegieren. (Der Administrator benötigt keine delegierte Berechtigung. Ein Kerberos-Administrator besitzt bereits die Berechtigung, einen beliebigen Server zum Kerberos-Realm hinzuzufügen.) Näheres hierzu finden Sie im Abschnitt „Delegieren der Berechtigung zum Hinzufügen eines Objekts zu einem Open Directory-Kerberos-Realm“ auf Seite 115. Â Ein Kerberos-Administrator oder Benutzer mit delegierten Berechtigungen müssen dem Kerberos-Realm Server hinzufügen. Der Kerberos-Realm stellt dann die KerberosIdentifizierung für die Gesamtauthentifizierung für Dienste bereit, die von den hinzugefügten Servern zur Verfügung gestellt werden. Weitere Informationen hierzu finden Sie im Abschnitt „Hinzufügen eines Servers zu einem Kerberos-Realm“ auf Seite 118. Â Alle Computer, die Kerberos verwenden, müssen auf das korrekte Datum sowie die korrekte Uhrzeit und Zeitzone eingestellt werden. Außerdem müssen sie für die Verwendung desselben Netzwerk-Zeitservers konfiguriert werden. Kerberos ist darauf angewiesen, dass die Systemuhren aller beteiligten Computer synchron sind. Stellen Sie beim Konfigurieren eines Open Directory-Masters sicher, dass Ihr DNS korrekt konfiguriert und aktiv ist, bevor Sie den Open Directory-Dienst zum ersten Mal starten. Wenn DNS beim Starten von Open Directory nicht korrekt konfiguriert oder nicht aktiv ist, funktioniert Kerberos nicht einwandfrei. Wenn Open Directory zum ersten Mal gestartet wird, verwendet Kerberos den DNSDienst, um Konfigurationseinstellungen zu generieren. Ist Ihr DNS-Server nicht verfügbar, wenn Kerberos erstmals gestartet wird, sind die zugehörigen Konfigurationen ungültig und Kerberos arbeitet nicht korrekt. Wenn Kerberos aktiv ist und seine Konfigurationsdatei generiert hat, hängt es nicht mehr vom DNS-Dienst ab, sodass sich DNS-Änderungen nicht auf Kerberos auswirken. Die einzelnen Dienste von Mac OS X Server erfordern keine Konfiguration für die Gesamtauthentifizierung oder für Kerberos. 112 Kapitel 5 Konfigurieren von Open Directory-Diensten Die folgenden Dienste sind für die Kerberos-Identifizierung für die Gesamtauthentifizierung auf jedem Server mit Mac OS X Server 10.5 (oder neuer) bereit, der ein Open Directory-Master bzw. eine Open Directory-Replik ist oder einem solchen Master bzw. einer Replik hinzugefügt wurde: Â Anmeldefenster Â Mail-Dienst Â AFP Â FTP Â SMB (als Mitglied eines Active Directory-Kerberos-Realms) Â iChat Â Druckdienst Â NFS Â Xgrid-Dienst Â VPN Â Apache-Webdienst Â LDAPv3-Verzeichnisdienst (auf einem Open Directory-Master oder einer Replik). Konfigurieren eines Open Directory-Kerberos-Realms Sie können die Kerberos-Identifizierung für eine Gesamtauthentifizierung in Ihrem Netzwerk durch Konfigurieren eines Open Directory-Masters bereitstellen. Sie können einen Open Directory-Master während der Erstkonfiguration einrichten, die auf die Installation von Mac OS X Server folgt. Wenn Sie Mac OS X Server aber mit einer anderen Open Directory-Funktion konfigurieren, können Sie die zugehörige Funktion mithilfe des Programms „Server-Admin“ in die eines Open Directory-Masters ändern. Weitere Informationen hierzu finden Sie in den Abschnitten „Konfigurieren eines Open Directory-Masters“ auf Seite 95 und „Starten von Kerberos nach der Konfiguration eines Open Directory-Masters“ auf Seite 114. Ein Server, der ein Open Directory-Master ist, erfordert keine weitere Konfiguration, um die Kerberos-Identifizierung für die Gesamtauthentifizierung für kerberisierte Dienste zu unterstützen, die vom Server bereitgestellt werden. Der Server kann die Kerberos-Identifizierung für die Gesamtauthentifizierung auch für kerberisierte Dienste anderer Server im Netzwerk unterstützen. Die anderen Server müssen so konfiguriert werden, dass sie zum Open Directory-Kerberos-Realm hinzugefügt werden können. Weitere Informationen finden Sie in den Abschnitten „Delegieren der Berechtigung zum Hinzufügen eines Objekts zu einem Open Directory-Kerberos-Realm“ auf Seite 115 und „Hinzufügen eines Servers zu einem Kerberos-Realm“ auf Seite 118. Kapitel 5 Konfigurieren von Open Directory-Diensten 113 Wichtig: Ein Open Directory-Master erfordert einen korrekt konfigurierten DNS-Dienst, damit er die Kerberos- und die Gesamtauthentifizierung bereitstellen kann. Zusätzlich gilt Folgendes: Â Der DNS-Dienst muss so konfiguriert werden, dass die vollständig qualifizierten DNSNamen aller Server (einschließlich des Open Directory-Masters) in die zugehörigen IP-Adressen aufgelöst werden und dass eine entsprechende RLU-Auflösung bereitgestellt wird. Weitere Informationen zum Konfigurieren des DNS-Diensts finden Sie im Handbuch Netzwerkdienste – Administration. Â Die Systemeinstellung „Netzwerk“ des Open Directory-Master-Servers muss für die Verwendung des DNS-Servers konfiguriert sein, der den Servernamen auflöst. (Wenn der Open Directory-Master-Server seinen eigenen DNS-Dienst bereitstellt, muss dessen Systemeinstellung „Netzwerk“ so konfiguriert sein, dass der Server sich selbst als DNS-Server verwendet.) Starten von Kerberos nach der Konfiguration eines Open Directory-Masters Wird Kerberos nicht gestartet, nachdem Sie einen Open Directory-Master konfiguriert haben, können Sie den Dienst mithilfe des Programms „Server-Admin“ manuell starten. Zuerst müssen Sie jedoch das Problem beheben, das den Kerberos-Start verhindert hat. Gewöhnlich besteht das Problem darin, dass der DNS-Dienst nicht korrekt konfiguriert wurde oder nicht aktiv ist. Hinweis: Nachdem Sie Kerberos manuell gestartet haben, müssen Benutzer, deren Accounts Open Directory-Kennwörter verwenden und die während des KerberosStopps im LDAP-Verzeichnis des Open Directory-Masters erstellt wurden, ihre Kennwörter möglicherweise bei der nächsten Anmeldung ändern. Benutzer-Accounts sind daher nur betroffen, wenn alle rückführbaren Identifizierungsmethoden für Open Directory-Kennwörter während des Kerberos-Stopps deaktiviert waren. Gehen Sie wie folgt vor, um Kerberos auf einem Open Directory-Master manuell zu starten: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Aktualisieren“ (oder wählen Sie „Darstellung“ > „Aktualisieren“) und überprüfen Sie den Status von Kerberos im Bereich „Übersicht“. Ist Kerberos gestartet, so sind keine weiteren Schritte erforderlich. 5 Verwenden Sie das Netzwerk-Dienstprogramm (im Ordner „Programme/Dienstprogramme“), um eine DNS-Auflösung des DNS-Namens des Open Directory-Masters und eine RLU-Auflösung der IP-Adresse auszuführen. 114 Kapitel 5 Konfigurieren von Open Directory-Diensten Gehen Sie wie folgt vor, wenn der DNS-Name oder die IP-Adresse des Servers nicht korrekt aufgelöst wird: Â Prüfen Sie in der Systemeinstellung „Netzwerk“ die TCP/IP-Einstellungen für die primäre Netzwerkschnittstelle des Servers (gewöhnlich integriertes Ethernet). Vergewissern Sie sich, dass der erste aufgeführte DNS-Server auch den Namen des Open Directory-Servers auflöst. Â Überprüfen Sie die Konfiguration des DNS-Diensts und stellen Sie sicher, dass der Dienst aktiv ist. 6 Wählen Sie im Programm „Server-Admin“ den Dienst „Open Directory“ für den MasterServer aus. Klicken Sie dann auf „Einstellungen“ und anschließend auf „Allgemein“. 7 Klicken Sie auf „Kerberos-Eintrag hinzufügen“ und geben Sie anschließend die folgenden Informationen ein: Â Administratorname und Kennwort: Sie müssen sich als Administrator des LDAP-Verzeichnisses des Open Directory-Masters identifizieren. Â Realm-Name: Dieses Feld entspricht aufgrund der Voreinstellung dem DNS-Namen des Servers in Großbuchstaben. Hierbei handelt es sich um die Konvention bei der Benennung eines Kerberos-Realms. Sie können bei Bedarf einen anderen Namen eingeben. Delegieren der Berechtigung zum Hinzufügen eines Objekts zu einem Open Directory-Kerberos-Realm Mithilfe des Programms „Server-Admin“ können Sie die Berechtigung zum Hinzufügen eines Servers zu einem Open Directory-Master-Server zur Kerberos-Identifizierung für die Gesamtauthentifizierung delegieren. Sie können die Berechtigung einem oder mehreren Benutzer-Accounts übertragen. Die Benutzer-Accounts, an die Sie Berechtigungen delegieren, müssen den Kennworttyp „Open Directory“ aufweisen und sich im LDAP-Verzeichnis des Open Directory-MasterServers befinden. Auf dem abhängigen Server, für den Sie Berechtigungen delegieren, muss Mac OS X Server 10.3 (oder neuer) installiert sein. Hinweis: Wenn ein Account mit delegierter Kerberos-Berechtigung auf dem Open Directory-Master-Server gelöscht und erneut erstellt wird, besitzt der neue Account keine Berechtigung, den abhängigen Server zum Kerberos-Realm des Open DirectoryMasters hinzuzufügen. Ein Kerberos-Administrator (d. h. ein Open Directory-LDAP-Administrator) benötigt keine delegierte Berechtigung, um abhängige Server zum Open Directory-Kerberos-Realm hinzuzufügen. Ein Kerberos-Administrator besitzt bereits die Berechtigung, einen beliebigen Server zum Kerberos-Realm hinzuzufügen. Kapitel 5 Konfigurieren von Open Directory-Diensten 115 Gehen Sie wie folgt vor, um die Berechtigung zum Hinzufügen eines Objekts zu einem Open Directory-Kerberos-Realm zu delegieren: 1 Erstellen Sie im Arbeitsgruppenmanager eine Computergruppe in der LDAP-VerzeichnisDomain des Open Directory-Master-Servers oder wählen Sie eine vorhandene Computergruppe in diesem Verzeichnis aus: Â Zum Auswählen einer vorhandenen Computergruppe klicken Sie auf „Accounts“ oder wählen Sie „Ansicht“ > „Accounts“. Klicken Sie dann auf die Taste „Computergruppe“ (über der Liste der Accounts) und wählen Sie die Computergruppe aus, die verwendet werden soll. Â Wenn der LDAP-Server keine Computergruppe hat, der Sie den abhängigen Server hinzufügen wollen, können Sie eine Computergruppe erstellen: Klicken Sie zuerst auf „Accounts“ und dann auf die Taste „Computer“ (über der Liste der Accounts). Klicken Sie auf das kleine Kugelsymbol über der Account-Liste und öffnen Sie das LDAP-Verzeichnis des Open Directory-Masters über das Einblendmenü. Klicken Sie auf das Schlosssymbol und identifizieren Sie sich als Administrator des LDAP-Verzeichnisses. Klicken Sie zuerst auf die Taste „Computergruppe“ (über der Liste der Accounts) und dann auf „Neue Computergruppe“. Oder wählen Sie „Server“ > „Neue Computergruppe“. Geben Sie einen Namen ein (wie z. B. „Kerberisierte Server“). 2 Klicken Sie zuerst auf „Mitglieder“, dann auf die Taste „Hinzufügen“ (+) und wählen Sie die gewünschten Mtglieder aus. 3 Klicken Sie auf „Sichern“, um Ihre Änderungen an der Computergruppe zu sichern. 4 Klicken Sie auf „Einstellungen“ und stellen Sie sicher, dass für die Computergruppe keine verwalteten Einstellungen verwendet werden. Wenn das Symbol eines Objekts in der Tabelle der Einstellungskategorien mit einem kleinen Pfeil versehen ist, gibt es für das Objekt verwaltete Einstellungen. Klicken Sie zum Löschen der verwalteten Einstellungen eines Objekts zunächst auf das Objekt. Wählen Sie „Verwalten: Nie“ aus und klicken Sie auf „Jetzt anwenden“. Wenn das Objekt mehrere Realms umfasst, müssen Sie in jedem Realm „Verwalten: Nie“ auswählen und auf „Jetzt anwenden“ klicken. 5 Wenn Sie Kerberos-Berechtigungen an mindestens einen Benutzer-Account delegieren wollen, müssen Sie den Account bzw. die Accounts erstellen: Â Vergewissern Sie sich, dass Sie im LDAP-Verzeichnis des Open Directory-Master-Servers arbeiten. Klicken Sie gegebenenfalls auf das kleine Kugelsymbol und verwenden Sie das Einblendmenü zum Öffnen dieses Verzeichnisses. Klicken Sie dann auf das Schlosssymbol und identifizieren Sie sich als Administrator dieses Verzeichnisses. Â Klicken Sie auf „Benutzer“ (auf der linken Seite). Klicken Sie dann auf „Neuer Benutzer“ oder wählen Sie „Server“ > „Neuer Benutzer“. 116 Kapitel 5 Konfigurieren von Open Directory-Diensten Â Geben Sie einen Namen, Kurznamen und ein Kennwort ein. Â Vergewissern Sie sich, dass die Optionen „Benutzer darf: Auf den Account zugreifen“ oder „Benutzer darf: Diesen Server verwalten“ nicht ausgewählt sind. Sie können in weiteren Bereichen Einstellungen ändern. Ändern Sie jedoch nicht den Typ in der Einstellung „Benutzerkennwort“ im Bereich „Erweitert“. Ein Benutzer mit delegierter Kerberos-Berechtigung muss ein Open Directory-Kennwort besitzen. 6 Klicken Sie auf „Sichern“, um den neuen Benutzer-Account zu sichern. 7 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open Directory-Master-Server her. 8 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 9 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 10 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 11 Stellen Sie sicher, dass „Open Directory-Master“ für „Funktion“ festgelegt ist, klicken Sie dann auf „Kerberos-Eintrag hinzufügen“ und geben Sie anschließend die folgenden Informationen ein: Â Administratorname: Geben Sie den Namen eines LDAP-Verzeichnisadministrators für den Open Directory-Master-Server ein. Â Administratorkennwort: Geben Sie das Kennwort des angegebenen AdministratorAccounts ein. Â Konfigurationseintragsname: Geben Sie den vollständig qualifizierten DNS-Namen so ein, wie Sie ihn in Schritt 2 beim Hinzufügen des abhängigen Servers zur Computergruppe angegeben haben. Â Delegierte Administratoren: Geben Sie einen Kurznamen oder einen langen Namen für jeden Benutzer-Account ein, dem Sie Kerberos-Berechtigungen für den angegebenen Server übertragen möchten. Ziehen Sie in Betracht, wenigstens zwei Namen einzugeben, um Probleme zu vermeiden, falls dieser Benutzer-Account in Zukunft gelöscht wird. 12 Klicken Sie zuerst auf „Hinzufügen“ und dann auf „Sichern“, um Kerberos-Berechtigungen wie angegeben zu delegieren. Wenn Sie für mehrere abhängige Server Berechtigungen delegieren wollen, müssen Sie diese Schritte für jeden Server wiederholen. Weitere Informationen für den Beitritt eines Servers zu einem Open Directory-KerberosRealm finden Sie im Abschnitt „Hinzufügen eines Servers zu einem Kerberos-Realm“ auf Seite 118. Kapitel 5 Konfigurieren von Open Directory-Diensten 117 Hinzufügen eines Servers zu einem Kerberos-Realm Mithilfe des Programms „Server-Admin“ kann ein Kerberos-Administrator oder ein Benutzer, dessen Account über die korrekt delegierte Berechtigung verfügt, Mac OS X Server zu einem Kerberos-Realm hinzufügen. Der Server kann nur zu jeweils einem Kerberos-Realm hinzugefügt werden. Hierbei kann es sich um einen Open Directory-Kerberos-Realm, einen Active Directory-Kerberos-Realm oder einen vorhandenen, auf MIT Kerberos basierenden Realm handeln. Sie benötigen einen Kerberos-Administrator-Account oder einen Benutzer-Account mit delegierter Kerberos-Berechtigung, um einen Server zu einem Open DirectoryKerberos-Realm hinzufügen zu können. Weitere Informationen hierzu finden Sie im Abschnitt „Delegieren der Berechtigung zum Hinzufügen eines Objekts zu einem Open Directory-Kerberos-Realm“ auf Seite 115. Gehen Sie wie folgt vor, um einen Server zu einem Kerberos-Realm hinzuzufügen: 1 Stellen Sie sicher, dass der Server, der dem Kerberos-Realm hinzugefügt werden soll, für den Zugriff auf die gemeinsam genutzte Verzeichnis-Domain des Kerberos-Servers konfiguriert ist. Öffnen Sie hierzu das Programm „Verzeichnisdienste“ auf dem Server, der dem KerberosRealm hinzugefügt werden soll, oder stellen Sie über das Programm „Verzeichnisdienste“ auf einem anderen Computer eine Verbindung zu dem Server her. Klicken Sie zuerst auf „Suchpfad“, dann auf „Identifizierung“ und vergewissern Sie sich, dass die VerzeichnisDomain des Kerberos-Servers in der Liste aufgeführt ist. Ist sie nicht aufgeführt, lesen Sie die Anleitungen in Kapitel 7 „Verwalten von Verzeichnis-Clients“ zum Konfigurieren des Zugriffs auf das Verzeichnis. 2 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zu dem Server her, der dem Kerberos-Realm hinzugefügt werden soll. 3 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 4 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 5 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 6 Vergewissern Sie sich, dass „Mit einem Verzeichnisserver verbunden“ für „Funktion“ angegeben ist, klicken Sie auf „Kerberos-Eintrag hinzufügen“ und geben Sie dann die folgenden Informationen ein: Â Für einen Open Directory-Kerberos-Realm oder einen Active Directory-KerberosRealm wählen Sie den Realm aus dem Einblendmenü aus und geben den Namen und das Kennwort eines Kerberos-Administrator bzw. eines Benutzers mit delegierten Kerberos-Berechtigungen für den Server ein. Â Für einen MIT-basierten Kerberos-Realm geben Sie den Namen und das Kennwort eines Kerberos-Administrators, den Namen des Kerberos-Realms und den DNSNamen des Kerberos-KDC-Servers ein. 118 Kapitel 5 Konfigurieren von Open Directory-Diensten 6 Verwalten der Daten für die Benutzeridentifizierung 6 In diesem Kapitel wird beschrieben, wie Sie Benutzerkennwörter zurücksetzen, Kennworttypen ändern, Kennwortrichtlinien festlegen, Identifizierungsmethoden auswählen und andere Aufgaben mit dem Arbeitsgruppenmanager ausführen. Der Arbeitsgruppenmanager bietet eine zentralisierte Methode zum Verwalten von Mac OS X-Computern für die Zugriffssteuerung auf Software und Wechselmedien und für die Bereitstellung einer konsistenten Umgebung für verschiedene Benutzer. Sie verwenden den Arbeitsgruppenmanager auch für die Verwaltung der Einstellungen für die Benutzeridentifizierung. Weitere Informationen zum Arbeitsgruppenmanager finden Sie im Handbuch Benutzerverwaltung. Sie können die Informationen für die Identifizierung von Benutzern verwalten, die in Verzeichnis-Domains abgelegt sind. Aufgabenbeschreibungen und Anleitungen finden Sie an folgenden Stellen: Â „Definieren eines Kennworts“ auf Seite 120 Â „Ändern des Kennworts eines Benutzers“ auf Seite 121 Â „Zurücksetzen der Kennwörter mehrerer Benutzer“ auf Seite 122 Â „Ändern des Kennworttyps eines Benutzers“ auf Seite 123 Dies umfasst das Ändern des Kennworttyps zu „Open Directory“, „Shadow“-Kennwort oder „Crypt“-Kennwort und Aktivieren von Kerberos für die Gesamtauthentifizierung. Â „Aktivieren der Kerberos-Identifizierung mit Gesamtauthentifizierung für einen Benutzer“ auf Seite 127 Â „Ändern der globalen Kennwortrichtlinie“ auf Seite 127 Â „Festlegen von Kennwortrichtlinien für einzelne Benutzer“ auf Seite 128 Â „Auswählen von Identifizierungsmethoden für Benutzer von „Shadow“-Kennwörtern“ auf Seite 130 119 Â „Auswählen von Identifizierungsmethoden für Open Directory-Kennwörter“ auf Seite 131 Â „Zuweisen von Administratorrechten für die Open Directory-Identifizierung“ auf Seite 132 Â „Synchronisieren der Kennwörter des primären Administrators“ auf Seite 133 Â „Aktivieren der identifizierten LDAP-Verzeichnisbindung für einen Benutzer“ auf Seite 133 Â „Einstellen von Kennwörtern von exportierten oder importierten Benutzer-Accounts“ auf Seite 134 Â „Umstellen von Kennwörtern von Mac OS X Server 10.1 (oder älter)“ auf Seite 135 Definieren eines Kennworts Das dem Account eines Benutzers zugeordnete Kennwort muss vom Benutzer bei der Identifizierung für die Anmeldung oder für andere Dienste eingegeben werden. Beim Kennwort (außer bei SMB LAN Manager-Kennwörtern) wird zwischen Groß-/Kleinschreibung unterschieden, und es wird bei der Eingabe auf dem Bildschirm maskiert. Unabhängig von dem für einen Benutzer gewählten Kennworttyp finden Sie nachfolgend Richtlinien zum Erstellen eines Kennworts für Mac OS X Server-Benutzer-Accounts: Â Verwenden Sie für ein Kennwort eine Kombination aus Buchstaben, Ziffern und Symbolen, die für unbefugte Benutzer nur schwer zu erraten ist. Kennwörter sollten nicht aus Wörtern bestehen. Gute Kennwörter enthalten Ziffern und Symbole (etwa # oder $) oder bestehen aus dem ersten Buchstaben jedes Worts in einem Satz. Verwenden Sie sowohl Groß- als auch Kleinbuchstaben. Â Vermeiden Sie Leerzeichen und Tastenkombinationen mit der Wahltaste. Â Vermeiden Sie Zeichen, die nicht auf Computern eingegeben werden können, die der Benutzer verwendet, oder die zur richtigen Eingabe eine spezielle Tastenkombination auf verschiedenen Tastaturen und Plattformen erfordern. Â Manche Netzwerkprotokolle unterstützen Kennwörter nicht, die führende Leerzeichen, eingebettete Leerzeichen oder nachgestellte Leerzeichen enthalten. Â Ein Kennwort mit null Zeichen wird nicht empfohlen. Open Directory und einige Systeme (wie die LDAP-Verzeichnisbindung) unterstützen ein Kennwort mit null Zeichen nicht. Â Für größtmögliche Kompatibilität mit Computern und Diensten, auf die Ihre Benutzer ggf. zugreifen, sollten Sie nur ASCII-Zeichen für Kennwörter verwenden. 120 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Ändern des Kennworts eines Benutzers Mit dem Arbeitsgruppenmanager können Sie das Kennwort eines in einer beliebigen Verzeichnis-Domain definierten Benutzer-Accounts ändern, für den Sie Lese- und Schreibzugriff besitzen. Sie können damit z. B. das Kennwort eines Benutzer-Accounts im LDAPVerzeichnis eines Open Directory-Masters ändern. Wichtig: Wenn Sie das Kennwort eines Benutzer-Accounts ändern, der zur Identifizierung einer LDAP-Verzeichnisverbindung eines Computers genutzt wird, müssen Sie dieselbe Änderung an den LDAP-Verbindungseinstellungen des betreffenden Computers vornehmen oder das LDAP-Verzeichnis und alle Verbindungen damit für die Verwendung einer vertrauenswürdigen Bindung konfigurieren. Weitere Informationen hierzu finden Sie in den Abschnitten „Ändern des Kennworts für die Identifizierung einer LDAP-Verbindung“ auf Seite 181 oder „Festlegen einer Bindungsrichtlinie für einen Open Directory-Server“ auf Seite 217 und „Stoppen der vertrauenswürdigen Bindung zu einem LDAP-Verzeichnis“ auf Seite 177. Gehen Sie wie folgt vor, um das Kennwort eines Benutzers zu ändern: 1 Öffnen Sie den Arbeitsgruppenmanager, klicken Sie auf die Taste „Accounts“ und dann auf die Taste „Benutzer“. 2 Öffnen Sie die Verzeichnis-Domain, die den Benutzer-Account enthält, dessen Kennwort Sie ändern wollen, und identifizieren Sie sich als Administrator der Domain. Klicken Sie zum Öffnen einer Verzeichnis-Domain auf das kleine Kugelsymbol über der Benutzerliste und wählen Sie die entsprechende Option aus dem Einblendmenü aus. Wenn der Kennworttyp des Benutzers „Open Directory“ ist, müssen Sie sich als ein Administrator identifizieren, dessen Kennworttyp „Open Directory“ ist. 3 Wählen Sie den Account aus, dessen Kennwort geändert werden muss. 4 Geben Sie ein Kennwort im Bereich „Allgemein“ ein. Klicken Sie dann auf „Sichern“. 5 Teilen Sie dem Benutzer das neue Kennwort mit, sodass er sich anmelden kann. Nachdem sich der Benutzer bei Mac OS X mit dem neuen Kennwort angemeldet hat, kann er das Kennwort in der Systemeinstellung „Benutzer“ ändern. Wenn Sie das Kennwort eines Accounts ändern, dessen Kennworttyp „Open Directory“ lautet und sich der Account im LDAP-Verzeichnis einer Open Directory-Replik oder eines Open Directory-Servers befindet, wird die Änderung mit dem Master und dessen Repliken synchronisiert. Mac OS X Server synchronisiert Änderungen an Open Directory-Kennwörtern zwischen einem Master und dessen Repliken. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 121 Zurücksetzen der Kennwörter mehrerer Benutzer Mit dem Arbeitsgruppenmanager können Sie mehrere Benutzer-Accounts gleichzeitig auswählen und so ändern, dass sie denselben Kennworttyp und dasselbe temporäre Kennwort verwenden. Gehen Sie wie folgt vor, um den Kennworttyp und das Kennwort mehrerer BenutzerAccounts zu ändern: 1 Öffnen Sie den Arbeitsgruppenmanager, klicken Sie auf die Taste „Accounts“ und dann auf die Taste „Benutzer“. 2 Öffnen Sie die Verzeichnis-Domain, die den Benutzer-Account enthält, dessen Kennworttypen und Kennwörter Sie zurücksetzen wollen, und identifizieren Sie sich als Administrator der Domain. Klicken Sie zum Öffnen einer Verzeichnis-Domain auf das kleine Kugelsymbol über der Benutzerliste und wählen Sie die entsprechende Option aus dem Einblendmenü aus. Wenn Sie den Kennworttyp „Open Directory“ festlegen wollen, müssen Sie sich als ein Administrator identifizieren, dessen Kennworttyp „Open Directory“ ist. 3 Klicken Sie bei gedrückter Befehlstaste oder Umschalttaste auf Benutzer-Accounts, um Accounts auszuwählen, deren Kennworttyp geändert werden muss. 4 Geben Sie ein Kennwort im Bereich „Allgemein“ ein. Legen Sie dann die Option „Benutzerkennwort“ im Bereich „Erweitert“ fest. 5 Klicken Sie auf „Sichern“. 6 Teilen Sie den Benutzern das temporäre Kennwort mit, sodass sie sich anmelden können. Nach der Anmeldung mit dem temporären Kennwort kann ein Benutzer das Kennwort in der Systemeinstellung „Benutzer“ ändern. Wenn Sie das Kennwort von Accounts ändern, deren Kennworttyp „Open Directory“ lautet und sich die Accounts im LDAP-Verzeichnis einer Open Directory-Replik oder eines Open Directory-Servers befinden, wird die Änderung mit dem Master und dessen Repliken synchronisiert. Mac OS X Server synchronisiert Änderungen an Open Directory-Kennwörtern zwischen einem Master und dessen Repliken. 122 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Ändern des Kennworttyps eines Benutzers Sie können für den Kennworttyp im Bereich „Erweitert“ des Arbeitsgruppenmanagers eine der folgenden Einstellungen festlegen: Â Open Directory: Aktiviert mehrere traditionelle Identifizierungsmethoden sowie die Kerberos-Identifizierung per Gesamtauthentifizierung, wenn sich der Account des Benutzers im LDAP-Verzeichnis eines Open Directory-Masters bzw. einer Open Directory-Replik befindet. Open Directory-Kennwörter werden getrennt von der Verzeichnis-Domain in der Datenbank des Open Directory-Kennwortservers und im Kerberos-KDC gespeichert. Weitere diesbezügliche Informationen finden Sie im Abschnitt „Ändern des Kennworttyps in „Open Directory““ auf Seite 123. Â „Shadow“-Kennwort: Aktiviert mehrere traditionelle Identifizierungsmethoden für Benutzer-Accounts in der lokalen Verzeichnis-Domain. „Shadow“-Kennwörter werden separat von der Verzeichnis-Domain in Dateien gespeichert, die nur vom rootBenutzer gelesen werden können. Weitere diesbezügliche Informationen finden Sie im Abschnitt „Ändern des Kennworttyps in „Shadow“-Kennwort“ auf Seite 126. Â „Crypt“-Kennwort: Ermöglicht eine grundlegende Identifizierung für einen BenutzerAccount in einer gemeinsam genutzten Verzeichnis-Domain. Ein „Crypt“-Kennwort wird im Eintrag des Benutzer-Accounts in der Verzeichnis-Domain gespeichert. Für die Anmeldung bei Mac OS X 10.1 (oder älter) wird ein „Crypt“-Kennwort benötigt. Weitere diesbezügliche Informationen finden Sie im Abschnitt „Ändern des Kennworttyps in „Crypt“-Kennwort“ auf Seite 125. Ändern des Kennworttyps in „Open Directory“ Mithilfe des Arbeitsgruppen-Managers können Sie angeben, dass ein Open DirectoryKennwort für einen Benutzer-Account in sicheren Datenbanken außerhalb der Verzeichnis-Domain gespeichert wird. Benutzer-Accounts in den folgenden VerzeichnisDomains können über Open Directory-Kennwörter verfügen: Â LDAP-Verzeichnis-Domain auf Mac OS X Server 10.3 – 10.5 Â Lokale Verzeichnis-Domain von Mac OS X Server 10.3 oder ein von Version 10.3 aktualisierter Server Â Verzeichnis-Domain auf Mac OS X Server 10.2, die für die Verwendung eines Kennwortservers konfiguriert ist Der Kennworttyp „Open Directory“ unterstützt die Gesamtauthentifizierung mithilfe der Kerberos-Identifizierung. Außerdem unterstützt er den Open Directory-Kennwortserver, der SASL-Identifizierungsprotokolle (Simple Authentication and Security Layer) bietet, u. a. APOP, CRAM-MD5, DHX, Digest-MD5, MS-CHAPv2, NTLMv2, NTLM (auch als Windows NT oder SMB-NT bezeichnet), LAN Manager (LM) und WebDAV-Digest. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 123 Hinweis: Damit Sie den Kennworttyp eines Benutzer-Accounts auf „Open Directory“ setzen können, müssen Sie über Administratorrechte für die Open Directory-Identifizierung in der Verzeichnis-Domain verfügen, die den Benutzer-Account enthält. Dies bedeutet, dass Sie sich als ein Verzeichnis-Domain-Administrator identifizieren müssen, dessen Kennworttyp „Open Directory“ ist. Weitere Informationen hierzu finden Sie im Abschnitt „Zuweisen von Administratorrechten für die Open Directory-Identifizierung“ auf Seite 132. Gehen Sie wie folgt vor, um festzulegen, dass einem Benutzer-Account ein Open Directory-Kennwort zugewiesen wird: 1 Vergewissern Sie sich, dass sich der Account des Benutzers in einer Verzeichnis-Domain befindet, die die Open Directory-Identifizierung unterstützt. Die Verzeichnis-Domains, die die Open Directory-Identifizierung unterstützten, werden weiter oben in diesem Kapitel aufgeführt. 2 Öffnen Sie im Arbeitsgruppenmanager den Account, mit dem Sie arbeiten möchten (falls er noch nicht geöffnet ist). Klicken Sie zum Öffnen eines Accounts auf die Taste „Accounts“ und dann auf die Taste „Benutzer“. Klicken Sie auf das kleine Kugelsymbol über der Benutzerliste und wählen Sie die gewünschte Option aus dem Einblendmenü aus, um die Verzeichnis-Domain zu öffnen, in der sich der Account des Benutzers befindet. Klicken Sie auf das Schlosssymbol und identifizieren Sie sich als ein Verzeichnis-Domain-Administrator, dessen Kennworttyp „Open Directory“ ist. Wählen Sie dann den Benutzer in der Liste aus. 3 Klicken Sie auf „Erweitert“. 4 Wählen Sie aus dem Einblendmenü „Benutzerkennwort“ die Option „Open Directory“ aus. 5 Geben Sie bei Aufforderung ein neues Kennwort ein und bestätigen Sie dieses. Das Kennwort darf höchstens 512 Byte umfassen (maximal 512 Zeichen, je nach Sprache). Allerdings können durch das Protokoll zur Identifizierung im Netzwerk andere Einschränkungen festgelegt werden, etwa 128 Zeichen für NTLMv2 und NTLM und 14 für LAN Manager. Im Abschnitt „Definieren eines Kennworts“ auf Seite 120 finden Sie Richtlinien für die Wahl von Kennwörtern. 6 Klicken Sie im Bereich „Erweitert“ auf „Optionen“, um die Kennwortrichtlinie des Benutzers einzurichten. Klicken Sie auf „OK“, wenn Sie alle gewünschten Optionen festgelegt haben. Wenn Sie „Anmeldung deaktivieren am“ auswählen, legen Sie das Datum mithilfe der Pfeiltasten fest. Wenn Sie eine Option auswählen, für die das Kennwort zurückgesetzt (geändert) werden muss, denken Sie daran, dass nicht alle Protokolle Kennwortänderungen unterstützen. Zum Beispiel können Benutzer ihre Kennwörter nicht ändern, wenn sie sich für den IMAP-Mail-Dienst identifizieren. 124 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Die Kennwort-ID ist ein eindeutiger 128-Bit-Wert, der zugewiesen wird, wenn das Kennwort in der Datenbank des Open Directory-Kennwortservers erstellt wird. Sie ist u. U. bei der Fehlerbeseitigung von Nutzen, da sie im Kennwortserver-Protokoll angezeigt wird, wenn ein Problem auftritt. Weitere Informationen hierzu finden Sie im Abschnitt „Anzeigen von Open Directory-Status und -Protokollen“ auf Seite 210. Sie können dieses Open Directory-Protokoll im Programm „Server-Admin“ anzeigen. 7 Klicken Sie auf „Sichern“. Ändern des Kennworttyps in „Crypt“-Kennwort Sie können mit dem Arbeitsgruppenmanager falls erforderlich ein „Crypt-Kennwort“ für einen Benutzer-Account festlegen. „Crypt“-Kennwörter stehen nur für einen BenutzerAccount in einer gemeinsam genutzten Verzeichnis-Domain zur Verfügung. Der Benutzer-Account kann Teil einer LDAP-Verzeichnis-Domain oder einer traditionellen gemeinsam genutzten NetInfo-Domain sein (nur verfügbar, wenn eine Verbindung zu einem Computer mit Mac OS X Server 10.4, 10.3 oder 10.2 besteht). Nicht verwendete Benutzer-Accounts auf Computern, für die ein „Crypt“-Kennwort erforderlich ist, sollten ein Open Directory-Kennwort oder „Shadow“-Kennwort besitzen. Ein „Crypt“-Kennwort wird nur für die Anmeldung bei einem Computer mit Mac OS X 10.1 (oder älter) und auf Computern mit bestimmten UNIX-Typen benötigt. Ein „Crypt“-Kennwort wird als verschlüsselter Wert oder Prüfsumme im Benutzer-AccountEintrag in der Verzeichnis-Domain gespeichert. Da das „Crypt“-Kennwort aus der Verzeichnis-Domain wiederhergestellt werden kann, ist es nicht vor Offline-Angriffen geschützt und weniger sicher als andere Kennworttypen. Gehen Sie wie folgt vor, um anzugeben, dass einem Benutzer-Account ein „Crypt“Kennwort zugewiesen wird: 1 Öffnen Sie im Arbeitsgruppenmanager den Account, mit dem Sie arbeiten möchten (falls er noch nicht geöffnet ist). Klicken Sie zum Öffnen eines Accounts auf die Taste „Accounts“ und dann auf die Taste „Benutzer“. Klicken Sie auf das kleine Kugelsymbol über der Benutzerliste und wählen Sie die gewünschte Option aus dem Einblendmenü aus, um die Verzeichnis-Domain zu öffnen, in der sich der Account des Benutzers befindet. Klicken Sie auf das Schlosssymbol und melden Sie sich als Administrator einer Verzeichnis-Domain an. Wählen Sie anschließend den Benutzer in der Liste aus. 2 Klicken Sie auf „Erweitert“. 3 Wählen Sie aus dem Einblendmenü „Benutzerkennwort“ die Option „„Crypt“-Kennwort“ aus. 4 Geben Sie bei Aufforderung ein Kennwort ein und bestätigen Sie dieses. Ein „Crypt“-Kennwort kann höchstens acht Byte (acht ASCII-Zeichen) lang sein. Wenn Sie ein längeres Kennwort eingeben, werden nur die ersten acht Byte verwendet. 5 Klicken Sie auf „Sichern“. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 125 Ändern des Kennworttyps in „Shadow“-Kennwort Mithilfe des Arbeitsgruppen-Managers können Sie angeben, dass ein Benutzer ein „Shadow“-Kennwort verwendet, das in einer sicheren Datei außerhalb der VerzeichnisDomain gespeichert wird. Nur Benutzer, deren Accounts sich in der lokalen VerzeichnisDomain befinden, können ein „Shadow“-Kennwort verwenden. Gehen Sie wie folgt vor, um anzugeben, dass einem Benutzer-Account ein „Shadow“-Kennwort zugewiesen wird: 1 Öffnen Sie im Arbeitsgruppenmanager den Account, mit dem Sie arbeiten möchten (falls er noch nicht geöffnet ist). Klicken Sie zum Öffnen eines Accounts auf die Taste „Accounts“ und dann auf die Taste „Benutzer“. Klicken Sie auf das kleine Kugelsymbol über der Benutzerliste und wählen Sie die gewünschte Option aus dem Einblendmenü aus, um die lokale Verzeichnis-Domain zu öffnen, in der sich der Account des Benutzers befindet. Klicken Sie auf das Schlosssymbol und melden Sie sich als Administrator einer VerzeichnisDomain an. Wählen Sie anschließend den Benutzer in der Liste aus. 2 Klicken Sie auf „Erweitert“. 3 Wählen Sie aus dem Einblendmenü „Benutzerkennwort“ die Option „„Shadow“-Kennwort“ aus. Hinweis: Sie können nur für lokale Benutzer-Accounts die Verwendung von „Shadow“Kennwörtern festlegen. 4 Geben Sie bei Aufforderung ein Kennwort ein und bestätigen Sie dieses. Ein langes Kennwort wird bei einigen Identifizierungsmethoden abgeschnitten. Bis zu 128 Zeichen des Kennworts werden für NTLMv2 und NTLM verwendet und die ersten 14 Zeichen für LAN Manager. Richtlinien zum Auswählen von Kennwörtern finden Sie im Abschnitt „Definieren eines Kennworts“ auf Seite 120. 5 Klicken Sie im Bereich „Erweitert“ auf „Optionen“, um die Kennwortrichtlinie des Benutzers einzurichten. Klicken Sie dann auf „OK“, wenn Sie alle gewünschten Optionen festgelegt haben. Wenn Sie „Anmeldung deaktivieren am“ auswählen, legen Sie das Datum mithilfe der Pfeiltasten fest. Wenn Sie eine Richtlinie verwenden, die eine Änderung des Benutzerkennworts erfordert, beachten Sie, dass nicht alle Protokolle die Änderung von Kennwörtern unterstützen. Zum Beispiel können Benutzer ihre Kennwörter nicht ändern, wenn sie sich für den IMAP-Mail-Dienst identifizieren. 6 Klicken Sie auf „OK“. Weitere Informationen hierzu finden Sie im Abschnitt „Festlegen von Kennwortrichtlinien für einzelne Benutzer“ auf Seite 128. 7 Klicken Sie auf „Sichern“. 126 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Aktivieren der Kerberos-Identifizierung mit Gesamtauthentifizierung für einen Benutzer Sie können die Kerberos-Identifizierung mit Gesamtauthentifizierung für einen Benutzer-Account in einem LDAP-Verzeichnis von Mac OS X Server aktivieren, indem Sie für den Kennworttyp des Accounts im Bereich „Erweitert“ des Arbeitsgruppenmanagers die Einstellung „Open Directory“ auswählen. Ändern der globalen Kennwortrichtlinie Mithilfe des Programms „Server-Admin“ können Sie eine globale Kennwortrichtlinie für Benutzer-Accounts in einer Mac OS X Server Verzeichnis-Domain festlegen. Die globale Kennwortrichtlinie gilt für Benutzer-Accounts in der lokalen VerzeichnisDomain des Servers. Wenn es sich beim Server um einen Open Directory-Master oder eine Replik handelt, gilt die globale Kennwortrichtlinie auch für Benutzer-Accounts, für die in der LDAP-Verzeichnis-Domain des Servers der Kennworttyp „Open Directory“ festgelegt ist. Wenn Sie die globale Kennwortrichtlinie einer Open Directory-Replik ändern, werden die Einstellungen der Richtlinie mit dem Master und allen dessen Repliken synchronisiert. Für Administrator-Accounts gelten Kennwortrichtlinien nicht. Jeder Benutzer kann eine individuelle Kennwortrichtlinie verwenden, die globale Einstellungen für Kennwortrichtlinien überschreibt. Weitere Informationen hierzu finden Sie im Abschnitt „Festlegen von Kennwortrichtlinien für einzelne Benutzer“ auf Seite 128. Kerberos und Open Directory-Kennwortserver verwalten Kennwortrichtlinien getrennt. Mac OS X Server synchronisiert die Regeln der Kerberos-Kennwortrichtlinie mit den Regeln der Kennwortrichtlinie des Open Directory-Kennwortservers. Gehen Sie wie folgt vor, um die globale Kennwortrichtlinie von Benutzer-Accounts in derselben Domain zu ändern: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zu einem Open Directory-Master- oder Replikserver her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Richtlinien“. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 127 5 Klicken Sie auf „Kennwörter“ und legen Sie denn die gewünschten Optionen für Kennwortrichtlinien für Benutzer fest, die keine eigenen Kennwortrichtlinien definiert haben. Wenn Sie eine Option auswählen, die ein Ändern des Kennworts erfordert, denken Sie daran, dass einige Dienstprotokolle es Benutzern nicht erlauben, Kennwörter zu ändern. Zum Beispiel können Benutzer ihre Kennwörter nicht ändern, wenn sie sich für den IMAP-Mail-Dienst identifizieren. 6 Klicken Sie auf „Sichern“. Repliken des Open Directory-Masters übernehmen automatisch dessen globale Kennwortrichtlinie. Verwenden von Befehlszeilenprogrammen Sie können Kennwortrichtlinien auch mit dem Befehl pwpolicy im Programm „Terminal“ festlegen. Weitere Informationen hierzu finden Sie im Kapitel zu Open Directory im Handbuch Command-Line Administration. Festlegen von Kennwortrichtlinien für einzelne Benutzer Mit dem Arbeitsgruppenmanager können Sie Kennwortrichtlinien für BenutzerAccounts festlegen, deren Kennworttyp „Open Directory“ oder „„Shadow“-Kennwort“ ist. Die Kennwortrichtlinie für einen Benutzer setzt die globale Kennwortrichtlinie außer Kraft, die im Bereich „Richtlinien“ des Open Directory-Diensts im Programm „Server-Admin“ festgelegt ist. Die Kennwortrichtlinie für einen mobilen Benutzer-Account wird angewendet, wenn der Account verwendet wird, während der Mobilcomputer vom Netzwerk getrennt ist. Die Kennwortrichtlinie des entsprechenden Benutzer-Accounts im Netzwerk wird angewendet, während der Mobilcomputer mit dem Netzwerk verbunden ist. Für Administrator-Accounts gelten Kennwortrichtlinien nicht. Damit Sie eine Kennwortrichtlinie für einen Benutzer-Account mit einem Open Directory-Kennwort festlegen können, müssen Sie über Administratorrechte für die Open Directory-Identifizierung in der Verzeichnis-Domain mit dem Benutzer-Account verfügen. Dies bedeutet, dass Sie sich als ein Verzeichnis-Domain-Administrator identifizieren müssen, dessen Kennworttyp „Open Directory“ ist. Weitere Informationen hierzu finden Sie im Abschnitt „Zuweisen von Administratorrechten für die Open Directory-Identifizierung“ auf Seite 132. 128 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Kerberos und Open Directory-Kennwortserver verwalten Kennwortrichtlinien getrennt. Mac OS X Server synchronisiert die Regeln der Kerberos-Kennwortrichtlinie mit den Regeln der Kennwortrichtlinie des Open Directory-Kennwortservers. Verwenden Sie nicht die Taste „Optionen“ im Bereich „Erweitert“, um Kennwortrichtlinien für Verzeichnis-Domain-Administratoren festzulegen. Kennwortrichtlinien werden auf Administrator-Accounts nicht angewendet. Administratoren von Verzeichnis-Domains müssen in der Lage sein, die Kennwortrichtlinien von Benutzer-Accounts zu ändern. Gehen Sie wie folgt vor, um die Kennwortrichtlinie für einen Benutzer-Account zu ändern: 1 Öffnen Sie im Arbeitsgruppenmanager den Account, mit dem Sie arbeiten möchten (falls er noch nicht geöffnet ist). Klicken Sie zum Öffnen eines Accounts auf die Taste „Accounts“ und dann auf die Taste „Benutzer“. Klicken Sie auf das kleine Kugelsymbol über der Benutzerliste und wählen Sie die gewünschte Option aus dem Einblendmenü aus, um die Verzeichnis-Domain zu öffnen, in der sich der Account des Benutzers befindet. Klicken Sie auf das Schlosssymbol und identifizieren Sie sich als ein Verzeichnis-Domain-Administrator, dessen Kennworttyp „Open Directory“ ist. Wählen Sie dann den Benutzer in der Liste aus. 2 Klicken Sie auf „Erweitert“ und dann auf „Optionen“. Sie können nur dann auf „Optionen“ klicken, wenn der Kennworttyp „Open Directory“ oder „Shadow“-Kennwort ist. 3 Ändern Sie die gewünschten Optionen der Kennwortrichtlinie. Klicken Sie dann auf „OK“. Wenn Sie eine Option auswählen, die ein Zurücksetzen (Ändern) des Kennworts erfordert, denken Sie daran, dass einige Dienstprotokolle es Benutzern nicht erlauben, Kennwörter zu ändern. Zum Beispiel können Benutzer ihre Kennwörter nicht ändern, wenn sie sich für den IMAP-Mail-Dienst identifizieren. 4 Klicken Sie auf „Sichern“. Verwenden von Befehlszeilenprogrammen Sie können Kennwortrichtlinien auch mit dem Befehl pwpolicy im Programm „Terminal“ festlegen. Weitere Informationen hierzu finden Sie im Kapitel zu Open Directory im Handbuch Command-Line Administration. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 129 Auswählen von Identifizierungsmethoden für Benutzer von „Shadow“-Kennwörtern Mithilfe des Arbeitsgruppen-Managers können Sie auswählen, welche Identifizierungsmethoden für einen Benutzer-Account verfügbar sind, dessen Kennworttyp „„Shadow“Kennwort“ lautet. Ein „Shadow“-Kennwort unterstützt verfügbare Identifizierungsmethoden aus Gründen der Kompatibilität mit Client-Software. Wenn Sie wissen, dass der Benutzer keine ClientSoftware verwenden wird, für die eine bestimmte Identifizierungsmethode erforderlich ist, können Sie die Methode deaktivieren. Weitere Informationen hierzu finden Sie im Abschnitt „Deaktivieren von Identifizierungsmethoden mit „Shadow“-Kennwörtern“ auf Seite 62. Wenn Sie eine Identifizierungsmethode deaktivieren, wird deren Prüfsumme bei der nächsten Identifizierung des Benutzers aus der „Shadow“-Kennwortdatei des Benutzers entfernt. Wenn Sie eine bisher deaktivierte Identifizierungsmethode aktivieren, wird die Prüfsumme der erneut aktivierten Methode der „Shadow“-Kennwortdatei des Benutzers hinzugefügt, wenn er sich das nächste Mal für einen Dienst identifiziert, der unverschlüsselte Kennwörter verwenden kann, wie z. B. das Anmeldefenster oder AFP. Alternativ kann auch das Benutzerkennwort zurückgesetzt werden, damit die Prüfsumme der neu aktivierten Methode hinzugefügt wird. Das Kennwort kann vom Benutzer oder einem Verzeichnisadministrator zurückgesetzt werden. Lesen Sie den nächsten Abschnitt, wenn Sie die Identifizierungen für Benutzer-Accounts mit dem Kennworttyp „Open Directory“ aktivieren oder deaktivieren möchten. Gehen Sie wie folgt vor, um die Identifizierungsmethoden für einen Benutzer mit „Shadow“-Kennwort zu aktivieren oder deaktivieren: 1 Öffnen Sie im Arbeitsgruppenmanager den Account, mit dem Sie arbeiten möchten (falls er noch nicht geöffnet ist). Klicken Sie zum Öffnen eines Accounts auf die Taste „Accounts“ und dann auf die Taste „Benutzer“. Klicken Sie auf das kleine Kugelsymbol über der Benutzerliste und wählen Sie die gewünschte Option aus dem Einblendmenü aus, um die lokale VerzeichnisDomain zu öffnen, in der sich der Account des Benutzers befindet. Klicken Sie auf das Schlosssymbol und identifizieren Sie sich als Verzeichnis-Domain-Administrator. Wählen Sie dann den Benutzer in der Liste aus. 2 Klicken Sie auf „Erweitert“ und dann auf „Sicherheit“. Die Option „Sicherheit“ ist nur verfügbar, wenn der Kennworttyp „„Shadow“-Kennwort“ ist. 3 Wählen Sie die zu aktivierenden Identifizierungsmethoden aus und heben Sie die Auswahl der zu deaktivierenden Identifizierungsmethoden auf. Klicken Sie dann auf „OK“. 4 Klicken Sie auf „Sichern“. 130 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Verwenden von Befehlszeilenprogrammen Sie können die Identifizierungsmethoden für einen Benutzer mit einem „Shadow“Kennwort auch aktivieren oder deaktivieren, indem Sie den Befehl pwpolicy im Programm „Terminal“ verwenden. Weitere Informationen hierzu finden Sie im Kapitel zu Open Directory im Handbuch Command-Line Administration. Auswählen von Identifizierungsmethoden für Open Directory-Kennwörter Mit dem Programm „Server-Admin“ können Sie auswählen, welche Identifizierungsmethoden für Benutzer-Accounts mit dem Kennworttyp „Open Directory“ verfügbar sein werden. Der Open Directory-Kennwortserver unterstützt die verfügbaren Identifizierungsmethoden und sorgt damit für Kompatibilität mit der Client-Software. Wenn Sie wissen, dass Benutzer keine Client-Software verwenden werden, für die eine bestimmte Identifizierungsmethode erforderlich ist, können Sie die Methode deaktivieren. Weitere Informationen hierzu finden Sie im Abschnitt „Deaktivieren von Identifizierungsmethoden von Open Directory“ auf Seite 61. Wichtig: Wenn Sie eine Identifizierungsmethode deaktivieren, wird die zugehörige Prüfsumme bei der nächsten Identifizierung des Benutzers aus der Kennwortdatenbank entfernt. Wenn Sie eine bisher deaktivierte Identifizierungsmethode aktivieren, muss jedes Open Directory-Kennwort geändert werden, damit die Prüfsumme der neu aktivierten Methode zur Kennwortdatenbank hinzugefügt wird. Das Kennwort kann vom Benutzer oder einem Verzeichnisadministrator geändert werden. Informationen dazu, wie Sie Identifizierungsmethoden für Benutzer-Accounts mit dem Kennworttyp „“Shadow“-Kennwort“ aktivieren oder deaktivieren, finden Sie im Abschnitt „Festlegen von Kennwortrichtlinien für einzelne Benutzer“ auf Seite 128. Gehen Sie wie folgt vor, um Identifizierungsmethoden für Open DirectoryKennwörter zu aktivieren oder zu deaktivieren: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zu einem Open Directory-Master-Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Richtlinien“. 5 Klicken Sie auf „Identifizierung“, wählen Sie die zu aktivierenden Identifizierungsmethoden aus und heben Sie die Auswahl der zu deaktivierenden Identifizierungsmethoden auf. 6 Klicken Sie auf „Sichern“. Repliken des Open Directory-Masters übernehmen die Einstellungen der Identifizierungsmethode für Open Directory-Kennwörter im LDAP-Verzeichnis. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 131 Verwenden von Befehlszeilenprogrammen Sie können Identifizierungsmethoden des Kennwortserves für Open Directory-Kennwörter auch aktivieren oder deaktivieren, indem Sie den Befehl NeST mit den Argumenten -getprotocols und -setprotocols im Programm „Terminal“ verwenden. Weitere Informationen hierzu finden Sie im Kapitel zu Open Directory im Handbuch Command-Line Administration. Zuweisen von Administratorrechten für die Open Directory-Identifizierung Wenn Sie den Arbeitsgruppen-Manager und einen Administrator-Account mit Rechten zur Nutzung der Kennworteinstellungen von Open Directory verwenden, können Sie diese Rechte anderen Benutzer-Accounts in derselben Verzeichnis-Domain zuweisen. Damit Sie diese Rechte zuweisen können, muss Ihr Benutzer-Account über ein Open Directory-Kennwort und Zugriffsrechte für die Verwaltung von Benutzer-Accounts verfügen. Diese Anforderung trägt zur Sicherheit von Kennwörtern bei, die im KerberosKDC und der Datenbank des Open Directory-Kennwortservers gespeichert sind. Gehen Sie wie folgt vor, um einem Benutzer-Account Administratorrechte für die Open Directory-Identifizierung zuzuweisen: 1 Öffnen Sie den Account im Arbeitsgruppenmanager, klicken Sie auf „Erweitert“ und vergewissern Sie sich, dass für „Benutzerkennwort“ die Einstellung „Open Directory“ ausgewählt ist. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern des Kennworttyps in „Open Directory““ auf Seite 123. 2 Klicken Sie auf „Rechte“ und wählen Sie „Voll“ aus dem Einblendmenü „Verwaltungsrechte“ aus. Wählen Sie „Eingeschränkt“, um die Verwaltungsrechte einzuschränken. 3 Klicken Sie auf „Sichern“. Weitere Informationen zum Festlegen von Administratorrechten finden Sie im Handbuch Benutzerverwaltung. 132 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Synchronisieren der Kennwörter des primären Administrators Unter Mac OS X Server 10.3 kann es verwirrend sein, wenn verschiedene Kennwörter für den primären lokalen Administrator-Account und den LDAP-Administrator-Account (Benutzer-ID 501) vorhanden sind. Daher sollten Sie identische Kennwörter verwenden. Auf einem von Mac OS X Server Version 10.3 aktualisierten Open Directory-Server befindet sich der primäre Administrator-Account normalerweise in der lokalen VerzeichnisDomain des Servers und in dessen LDAP-Verzeichnis. Dieser Account wurde von der lokalen Verzeichnis-Domain in das LDAP-Verzeichnis kopiert, als der Open DirectoryMaster mit Mac OS X Server 10.3 erstellt wurde. Anfänglich besitzen beide Kopien dieses Accounts die Benutzer-ID 501, denselben Namen und dasselbe Kennwort. Jeder Account besitzt Administratorrechte für die zugehörige Verzeichnis-Domain. Wenn Sie im Arbeitsgruppenmanager eine Verbindung zum Server herstellen und dafür den allgemeinen Namen des Accounts und das zugehörige Kennwort verwenden, sind Sie für die lokale Verzeichnis-Domain und die LDAP-Verzeichnis-Domain identifiziert. Wenn Sie eines der Kennwörter ändern, wird die Identifizierung bei beiden VerzeichnisDomains aufgehoben. Wenn Sie beim Verbinden mit dem Server im Arbeitsgruppenmanager beispielsweise das Kennwort des lokalen Administrators verwenden, können Sie nur in der lokalen Verzeichnis-Domain Änderungen vornehmen. Möchten Sie im LDAP-Verzeichnis Änderungen ausführen, müssen Sie auf das Schlosssymbol klicken und sich mit dem Kennwort des LDAP-Administrators identifizieren. Hinweis: Ein mit Mac OS X Server 10.5 erstellter Open Directory-Server verfügt über unterschiedliche Administrator-Accounts für seine lokalen Verzeichnisse und LDAPVerzeichnisse. Diese Accounts haben andere Namen und Benutzer-IDs. Daher können sich die Kennwörter dieser Accounts ebenfalls unterscheiden, ohne dass dies zu Verwirrungen führt. Aktivieren der identifizierten LDAP-Verzeichnisbindung für einen Benutzer Sie können die identifizierte LDAP-Verzeichnisbindung für einen in einer LDAP-Verzeichnis-Domain gespeicherten Benutzer-Account aktivieren. Wenn Sie diese Methode zur Kennwortüberprüfung verwenden, greifen Sie auf den LDAP-Server zurück, der den Benutzer-Account enthält, um das Kennwort des Benutzers zu identifizieren. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 133 Wichtig: Enthält der Name Ihres Computers einen Bindestrich, können Sie möglicherweise nicht auf eine Verzeichnis-Domain wie LDAP oder Active Directory zugreifen bzw. keine Verbindung dazu herstellen. Verwenden Sie einen Computernamen ohne Bindestrich, um die Verbindung herstellen zu können. Gehen Sie wie folgt vor, um die identifizierte LDAP-Verzeichnisbindung für einen Benutzer zu aktivieren: 1 Vergewissern Sie sich, dass der Mac OS X-Computer, der den Benutzer-Account identifizieren muss, mit dem LDAP-Verzeichnis des Benutzer-Account verbunden ist und dass der Suchpfad des Computers die Verbindung zum LDAP-Verzeichnis umfasst. Informationen zum Konfigurieren von Verbindungen zum LDAP-Server und des Suchpfads finden Sie im Abschnitt „Verwenden erweiterter Einstellungen für den LDAPDienst“ auf Seite 155. 2 Wenn Sie eine LDAP-Verbindung konfigurieren, die die Attribute für Kennwort und Berechtigung der Identifizierung nicht zuordnet, findet automatisch eine identifizierte Verzeichnisbindung statt. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren von LDAP-Suchen und -Zuordnungen“ auf Seite 172. 3 Wenn Sie die Verbindung so konfigurieren, dass unverschlüsselte Kennwörter zugelassen werden, sollten Sie für die Verbindung auch die Verwendung von SSL festlegen, damit das unverschlüsselte Kennwort beim Senden geschützt wird. Weitere Informationen finden Sie in den Abschnitten „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf Seite 170 und „Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis“ auf Seite 169. Einstellen von Kennwörtern von exportierten oder importierten Benutzer-Accounts Wenn Sie Benutzer-Accounts mit dem Kennworttyp „Open Directory“ oder „„Shadow“Kennwort“ exportieren, werden keine Kennwörter exportiert. Dadurch wird die Sicherheit der Datenbank des Open Directory-Kennwortservers und der „Shadow“-Kennwortdateien gewährleistet. Vor dem Importieren der Datei mit den exportierten Benutzern können Sie die Datei mit einem Tabellenkalkulationsprogramm öffnen und die Kennwörter der Benutzer festlegen. Die Benutzer können ihre Kennwörter dann bei der nächsten Anmeldung ändern. Anleitungen zum Arbeiten mit Dateien exportierter Benutzer finden Sie im Handbuch Benutzerverwaltung. 134 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Nach dem Importieren von Benutzer-Accounts haben Sie die folgenden Möglichkeiten, um Kennwörter festzulegen: Â Sie können für alle importierten Accounts die Verwendung eines temporären Kennworts festlegen, das alle Benutzer bei ihrer nächsten Anmeldung ändern können. Weitere Informationen hierzu finden Sie im Abschnitt „Zurücksetzen der Kennwörter mehrerer Benutzer“ auf Seite 122. Â Das Kennwort aller importierten Benutzer-Accounts lässt sich im Bereich „Allgemein“ des Arbeitsgruppenmanagers festlegen. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern des Kennworts eines Benutzers“ auf Seite 121. Umstellen von Kennwörtern von Mac OS X Server 10.1 (oder älter) Benutzer-Accounts können von älteren Versionen von Mac OS X Server migriert werden, indem Sie die Account-Einträge importieren oder den Server aktualisieren, auf dem sich die Einträge befinden. Mit Mac OS X Server 10.1 (oder älter) erstellte Benutzer-Accounts besitzen keine Attribute zur Berechtigung der Identifizierung, aber „Crypt“-Kennwörter. Aus Kompatibilitätsgründen mit solchen Benutzer-Accounts geht Mac OS X Server davon aus, dass ein Benutzer-Account ohne Attribut zur Berechtigung der Identifizierung über ein „Crypt“Kennwort verfügt. Wenn Sie Benutzer-Accounts von Mac OS X Server 10.1 (oder älter) importieren, besitzen sie kein Attribut zur Berechtigung der Identifizierung. Daher werden diese Benutzer-Accounts anfänglich für die Nutzung von „Crypt“-Kennwörtern konfiguriert. Wenn Sie diese Benutzer-Accounts in die lokale Verzeichnis-Domain des Servers importieren, werden alle Accounts so geändert, dass sie anstelle von „Crypt“-Kennwörtern „Shadow“-Kennwörter verwenden, wenn der Benutzer oder Administrator das Kennwort ändert oder wenn sich der Benutzer bei einem Dienst anmeldet, der eine wiederherstellbare Identifizierungsmethode nutzen kann. Informationen zum Importieren von Benutzer-Accounts finden Sie im Handbuch Benutzerverwaltung. Bei einer Aktualisierung von Mac OS X Server 10.1 (oder älter) besitzen BenutzerAccounts, die vor der Aktualisierung erstellt wurden, kein Attribut zur Berechtigung der Identifizierung. Nach der Aktualisierung wird angenommen, dass diese BenutzerAccounts „Crypt“-Kennwörter besitzen. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 135 Bestehende „Crypt“-Kennwörter können nach dem Importieren oder Aktualisieren zwar weiterhin verwendet werden, aber Sie haben die Möglichkeit, Benutzer-Accounts zu ändern und ihnen Open Directory- oder „Shadow“-Kennwörter zuzuweisen. Sie können einzelne Benutzer-Accounts oder mehrere Benutzer-Accounts mithilfe des Arbeitsgruppen-Managers ändern. Durch das Ändern des Kennworttyps eines Benutzer-Accounts wird das Kennwort zurückgesetzt. Weitere Informationen hierzu finden Sie in den Abschnitten „Ändern des Kennworttyps in „Open Directory““ auf Seite 123 und „Ändern des Kennworttyps in „Shadow“-Kennwort“ auf Seite 126. Einige mit Mac OS X Server 10.1 (oder älter) erstellte Benutzer-Accounts verwenden u. U. den Identifizierungsmanager (Authentification Manager). Es handelt sich dabei um eine traditionelle Technologie zum Identifizieren von Benutzern der Windowsund Apple-Dateidienste, deren Mac OS 8-Computer nicht mit der AFP-Client-Software Version 3.8.3 (oder neuer) aktualisiert wurden. Beim Migrieren des Identifizierungsmanagers haben Sie die folgenden Optionen: Â Wenn Sie zuerst eine Aktualisierung von Mac OS X Server 10.1 auf 10.2 ausführen und dann auf 10.5 aktualisieren, können vorhandene Benutzer ihre bestehenden Kennwörter weiterverwenden. Â Sie können einige oder alle aktualisierten Benutzer-Accounts so ändern, dass diese Open Directory-Kennwörter oder „Shadow“-Kennwörter besitzen. Diese Kennworttypen sind sicherer als „Crypt“-Kennwörter. Weitere Informationen hierzu finden Sie im Handbuch Open Directory – Administration. Â Wenn der aktualisierte Server über eine gemeinsam genutzte NetInfo-Domain verfügt und Sie diese in ein LDAP-Verzeichnis migrieren, werden alle Benutzer-Accounts für die Verwendung von Open Directory-Kennwörtern umgewandelt. Â Alle Benutzer-Accounts in der lokalen Verzeichnis-Domain des Servers werden so geändert, dass sie anstelle von „Crypt“-Kennwörtern „Shadow“-Kennwörter verwenden, wenn der Benutzer oder Administrator das Kennwort ändert oder wenn sich der Benutzer bei einem Dienst anmeldet, der eine wiederherstellbare Identifizierungsmethode nutzen kann. Â Wenn Sie Benutzer-Accounts in das LDAP-Verzeichnis importieren, die den Identifizierungsmanager verwenden, werden die Accounts beim Import so umgewandelt, dass sie über Open Directory-Kennwörter verfügen. 136 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 7 Verwalten von Verzeichnis-Clients 7 Verwenden Sie das Programm „Verzeichnisdienste“, um den Zugriff eines Computers mit Mac OS X oder Mac OS X Server auf Verzeichnisdienste zu konfigurieren und zu verwalten. Nachdem Sie Ihren Verzeichnisserver konfiguriert haben, können Sie Client-Computer mithilfe des Programms „Verzeichnisdienste“ verbinden. Mit dem Programm „Verzeichnisdienste“ können Sie eine Verbindung zu entfernten Computern herstellen und deren Einstellungen ändern, um die Computerverwaltung zu vereinfachen. Verbinden von Clients mit Verzeichnisservern In den folgenden Abschnitten wird erläutert, wie Verzeichnisserver in der Liste der Verzeichnisserver hinzugefügt, entfernt, bearbeitet und überwacht werden. Â „Verbindungen mit Verzeichnisservern“ auf Seite 137 Â „Automatisierte Client-Konfiguration“ auf Seite 138 Â „Hinzufügen einer Verbindung zu einem Active Directory-Server“ auf Seite 139 Â „Hinzufügen einer Verbindung zu einem Open Directory-Server“ auf Seite 140 Â „Entfernen einer Verbindung zu einem Verzeichnisserver“ auf Seite 140 Â „Bearbeiten einer Verbindung zu einem Verzeichnisserver“ auf Seite 141 Â „Überwachen von Verbindungen mit Verzeichnisservern“ auf Seite 141 Verbindungen mit Verzeichnisservern Mit dem Programm „Verzeichnisdienste“ können Sie Computer mit Verzeichnisservern verbinden. Im Bereich „Verzeichnisserver“ des Programms „Verzeichnisdienste“ werden die Verzeichnisserver aufgelistet, mit denen Ihr Computer verbunden ist. Ihr Mac OS XComputer greift auf die Server in der Liste zu, um Benutzerinformationen und andere administrative Daten abzurufen, die in der Verzeichnis-Domain von Verzeichnisservern gespeichert sind. 137 Wenn Sie einen Server zur Liste der Verzeichnisserver hinzufügen oder daraus löschen, werden die zu diesem Verzeichnisserver gehörenden Einträge aus den Listen in den Bereichen „Dienste“, „Identifizierung“ und „Kontakte“ gelöscht. Entfernen Sie allerdings die zugehörigen Einträge aus den Listen in den Bereichen „Dienste“, „Identifizierung“ und „Kontakte“, wird der Verzeichnisserver nicht aus der Liste der Verzeichnisserver entfernt. Computer mit Mac OS X 10.5 können eine Verbindung zu einem Open Directory-, Active Directory- oder Mac OS X Server-Verzeichnisserver herstellen. Wenn Sie nicht wissen, zu welchem Server Sie eine Verbindung aufbauen sollen, wenden Sie sich an Ihren Netzwerkadministrator. Wichtig: Enthält der Name Ihres Computers einen Bindestrich, können Sie möglicherweise nicht auf eine Verzeichnis-Domain wie LDAP oder Active Directory zugreifen bzw. keine Verbindung dazu herstellen. Verwenden Sie einen Computernamen ohne Bindestrich, um die Verbindung herstellen zu können. Automatisierte Client-Konfiguration Wenn Sie eine Verbindung zu einer Open Directory-Domain herstellen, die als Standardoder Arbeitsgruppenkonfiguration von Mac OS X Server vorliegt, unterstützt Sie das Programm „Verzeichnisdienste“ bei der Konfiguration Ihres Computers. Gehen Sie wie folgt vor, um eine Verbindung zu einem Server mit Standard- oder Arbeitsgruppenkonfiguration herzustellen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“). 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Klicken Sie auf „Verzeichnisserver“ und danach auf die Taste „Hinzufügen“ (+). 4 Wählen Sie aus dem Einblendmenü „Ein neues Verzeichnis hinzufügen – vom Typ“ die Option „Open Directory“ aus. 5 Geben Sie in das Feld „Servername oder IP-Adresse“ den Servernamen oder die IP-Adresse ein. 6 (Bedingt) Erkundigen Sie sich vor der Auswahl des Markierungsfelds „Verschlüsselung mit SSL“ bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist. 7 Im Bereich „Einführung“ wird eine Liste der von dem Server bereitgestellten Dienste angezeigt, zu dem Sie eine Verbindung herstellen. Klicken Sie auf „Einrichten“. 8 Geben Sie die Identifizierungsinformationen für den Server ein, zu dem Sie eine Verbindung aufbauen. Geben Sie in das Feld für Name und Kennwort den Namen und das Kennwort des Administrators des Servers ein, zu dem Sie die Verbindung herstellen. 138 Kapitel 7 Verwalten von Verzeichnis-Clients Geben Sie das Kennwort für den Benutzer-Account ein, der in der Einstellung „Geben Sie das Kennwort für den Account benutzername auf diesem Computer ein“ genannt wird. 9 Klicken Sie auf „Fortfahren“. 10 Wählen Sie unter „Konfigurationsoptionen“ aus, ob Ihre Programme mit dem Programm „Verzeichnisdienste“ konfiguriert werden sollen oder nicht. Wählen Sie „Ja“, wenn der Server Ihre Programme für die Nutzung der angebotenen Dienste konfigurieren soll. Wählen Sie „Nein“, um diese Konfiguration zu umgehen. 11 Klicken Sie auf „Fortfahren“. 12 Klicken Sie auf „Konf. beenden“. Das Programm „Verzeichnisdienste“ konfiguriert Ihren Computer. 13 Klicken Sie auf „Abmelden“, um sich vom Computer abzumelden. Melden Sie sich wieder an, um die neuen Dienste zu verwenden. Klicken Sie auf „Nicht abmelden“, wenn Sie beim Server angemeldet bleiben möchten. Hinzufügen einer Verbindung zu einem Active Directory-Server Wenn Sie eine Verbindung zu einem Active Directory-Server herstellen, muss Ihnen der Servername oder die IP-Adresse sowie der Benutzername und das Kennwort des Active Directory-Administrators bekannt sein. Gehen Sie wie folgt vor, um einen Active Directory-Server hinzuzufügen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“). 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Klicken Sie auf die Taste „Hinzufügen“ (+). 4 Wählen Sie aus dem Einblendmenü „Ein neues Verzeichnis hinzufügen vom Typ“ die Option „Active Directory“ aus und geben Sie dann die folgenden Informationen ein: Â Active Directory-Domain: Hierbei handelt es sich um den DNS-Namen oder die IP-Adresse des Active Directory-Servers. Â Computer-ID: Bearbeiten Sie ggf. die ID, die Active Directory für Ihren Server verwenden soll. Hierbei handelt es sich um den NetBIOS-Namen des Servers. Der Name darf nicht länger als 15 Zeichen sein und darf keine Sonderzeichen oder Satzzeichen enthalten. Passen Sie den Servernamen ggf. an seinen nicht qualifizierten DNS-Hostnamen an. Wird Ihr Server auf dem DNS-Server beispielsweise mit „server.beispiel.com“ bezeichnet, nennen Sie Ihren Server „server“. Â AD-Administrator-Benutzername und -Kennwort: Geben Sie den Benutzernamen und das Kennwort des Active Directory-Administrators ein. 5 Klicken Sie auf „OK“. Kapitel 7 Verwalten von Verzeichnis-Clients 139 Hinzufügen einer Verbindung zu einem Open Directory-Server Wenn Sie einen Open Directory-Server hinzufügen, muss Ihnen der Servername oder die IP-Adresse bekannt sein. Außerdem müssen Sie wissen, ob der Server SSL (Secure Socket Layer) verwendet. Gehen Sie wie folgt vor, um einen Open Directory-Server hinzuzufügen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“). 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Klicken Sie auf die Taste „Hinzufügen“ (+). 4 Wählen Sie aus dem Einblendmenü „Ein neues Verzeichnis hinzufügen – vom Typ“ die Option „Open Directory“ aus. 5 Geben Sie in das Feld „Servername oder IP-Adresse“ den Servernamen oder die IP-Adresse ein. 6 (Bedingt) Erkundigen Sie sich vor der Auswahl des Markierungsfelds „Verschlüsselung mit SSL“ bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist. Wichtig: Wenn Sie die IP-Adresse und den Computernamen mithilfe des Befehls „changeip“ ändern, während Sie mit einem Verzeichnisserver verbunden sind, müssen Sie die Verbindung zum Verzeichnisserver zuerst trennen und dann wieder herstellen. Dadurch wird das Verzeichnis mit dem neuen Computernamen und der neuen IP-Adresse aktualisiert. Wenn Sie die Verbindung mit Verzeichnisserver nicht trennen und dann wiederherstellen, wird das Verzeichnis nicht aktualisiert und verwendet weiterhin den alten Computernamen und die alte IP-Adresse. Entfernen einer Verbindung zu einem Verzeichnisserver Vergewissern Sie sich vor dem Entfernen eines Verzeichnisservers aus dem Programm „Verzeichnisdienste“, dass Sie dessen Dienste nicht für andere Programme verwenden. Wenn das Programm „Mail“ beispielsweise so konfiguriert ist, dass es mithilfe des Verzeichnisservers nach Kontakten sucht und Sie den Verzeichnisserver löschen, können Sie nicht nach Kontakten auf diesem Verzeichnisserver suchen. Gehen Sie wie folgt vor, um einen Verzeichnisserver zu löschen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“). 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie aus der Liste im Bereich „Verzeichnisserver“ den Verzeichnisserver aus, der gelöscht werden soll. 140 Kapitel 7 Verwalten von Verzeichnis-Clients 4 Klicken Sie auf die Taste „Löschen“ (–). 5 Wenn Sie sicher sind, dass Sie den korrekten Verzeichnisserver ausgewählt haben, klicken Sie auf „Server nicht mehr verwenden“. Bearbeiten einer Verbindung zu einem Verzeichnisserver Mit dem Programm „Verzeichnisdienste“ können Sie Verzeichnisserver bearbeiten, zu denen eine Verbindung besteht. Gehen Sie wie folgt vor, um eine Verbindung zu einem Verzeichnisserver zu bearbeiten: 1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“). 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie aus der Liste im Bereich „Verzeichnisserver“ den Verzeichnisserver aus, der bearbeitet werden soll. 4 Klicken Sie auf die Taste „Bearbeiten“ (/). 5 Ändern Sie die Einstellungen des Verzeichnisservers. 6 Klicken Sie auf „OK“. Überwachen von Verbindungen mit Verzeichnisservern Sie können die Liste im Bereich „Verzeichnisserver“ des Programms „Verzeichnisdienste“ verwenden, um den Status von Verzeichnisservern zu überwachen, mit denen Ihr Computer verbunden ist. Diese Informationen sind hilfreich, wenn Sie den Grund für ein Verbindungsproblem mit einem bestimmten Verzeichnisserver ermitteln wollen. Gehen Sie wie folgt vor, um den Status eines Verzeichnisservers zu überwachen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“). 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Beachten Sie die Farbe des Punkts links neben dem Verzeichnisserver: Â Grün: Der Verzeichnisserver antwortet dem Programm „Verzeichnisdienste“. Â Gelb: Das Programm „Verzeichnisdienste“ wartet auf eine Antwort vom Verzeichnisserver. Â Rot: Der Verzeichnisserver antwortet dem Programm „Verzeichnisdienste“ nicht. Verwalten des root-Benutzer-Accounts Mit dem Programm „Verzeichnisdienste“ können Sie den root-Benutzer-Account verwalten, indem Sie den root-Benutzer aktivieren oder deaktivieren. Wenn Sie den rootBenutzer-Account aktiviert haben, lässt sich mit dem Programm „Verzeichnisdienste“ auch das Kennwort des root-Accounts ändern. Kapitel 7 Verwalten von Verzeichnis-Clients 141 Aktivieren des root-Benutzer-Accounts Mit dem Programm „Verzeichnisdienste“ können Sie den root-Benutzer-Account aktivieren. Wenn Sie den root-Benutzer-Account aktivieren, verwenden Sie ein sicher verschlüsseltes Kennwort mit alphanumerischen Zeichen und Sonderzeichen, um eine Gefährdung der Kennwortsicherheit zu verhindern. ACHTUNG: Beim root-Account handelt es sich um einen Administrator-Account ohne Einschränkungen, der zum Ändern wichtiger Systemdateien verwendet wird. Selbst wenn Sie als Administrator angemeldet sind, müssen Sie den root-Account oder den Befehl sudo verwenden, um wichtige Systemaufgaben auszuführen. Melden Sie sich niemals über den root-Account am Computer an (egal ob per Fernzugriff oder lokal). Verwenden Sie stattdessen den Befehl sudo, um root-Aufgaben auszuführen. Sie können den Zugriff auf den Befehl sudo einschränken, indem Sie Benutzer zur Datei „/etc/sudoers“ hinzufügen. Weitere Informationen zum root-Account finden Sie im Handbuch Benutzerverwaltung. Gehen Sie wie folgt vor, um den root-Benutzer-Account zu aktivieren: 1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“). 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie „Bearbeiten“ > „root-Benutzer aktivieren“. Ändern des Kennwort des root-Benutzer-Accounts Mit dem Programm „Verzeichnisdienste“ können Sie das Kennwort des root-Accounts ändern. Wenn Sie das root-Kennwort ändern, verwenden Sie ein sicher verschlüsseltes Kennwort mit alphanumerischen Zeichen und Sonderzeichen, um eine Gefährdung der Kennwortsicherheit zu verhindern. ACHTUNG: Beim root-Account handelt es sich um einen Administrator-Account ohne Einschränkungen, der zum Ändern wichtiger Systemdateien verwendet wird. Selbst wenn Sie als Administrator angemeldet sind, müssen Sie den root-Account oder den Befehl sudo verwenden, um wichtige Systemaufgaben auszuführen. Melden Sie sich niemals über den root-Account am Computer an (egal ob per Fernzugriff oder lokal). Verwenden Sie stattdessen den Befehl sudo, um root-Aufgaben auszuführen. Sie können den Zugriff auf den Befehl sudo einschränken, indem Sie Benutzer zur Datei „/etc/sudoers“ hinzufügen. Weitere Informationen zum root-Account finden Sie im Handbuch Benutzerverwaltung. 142 Kapitel 7 Verwalten von Verzeichnis-Clients Gehen Sie wie folgt vor, um das Kennwort des root-Benutzer-Accounts zu ändern: 1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“). 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie „Bearbeiten“ > „root-Kennwort ändern“. 4 Geben Sie bei Aufforderung das neue root-Kennwort in die Felder „Kennwort“ und „Bestätigen“ ein. 5 Klicken Sie auf „OK“. Kapitel 7 Verwalten von Verzeichnis-Clients 143 8 Erweiterte Einstellungen für Directory-Clients 8 Verwenden Sie das Programm „Verzeichnisdienste“, um den Zugriff eines Computers mit Mac OS X oder Mac OS X Server auf Verzeichnisdienste zu konfigurieren und zu verwalten. Nach der Konfiguration Ihres Verzeichnisservers können Sie die erweiterten Einstellungen des Programms „Verzeichnisdienste“ für Ihren Computer und Ihre Softwareprogramme anpassen. Aufgabenbeschreibungen und Anleitungen zum Konfigurieren und Verwalten finden Sie unter folgenden Themen: Â „Einrichten des Programms „Verzeichnisdienste“ per Fernzugriff auf einem Server“ auf Seite 146 Â „Konfigurieren von Aktivierungen für die lokale Verzeichnis-Domain eines Computers“ auf Seite 147 Â „Verwenden von erweiterten Einstellungen für Suchpfade“ auf Seite 149 Â „Verwenden erweiterter Einstellungen des Programms „Verzeichnisdienste““ auf Seite 154 Â „Verwenden erweiterter Einstellungen für den LDAP-Dienst“ auf Seite 155 Â „Verwenden erweiterter Einstellungen des Active Directory-Diensts“ auf Seite 185 Â „Festlegen von NIS-Einstellungen“ auf Seite 202 Â „Festlegen von Einstellungen für BSD-Konfigurationsdateien“ auf Seite 203 145 Erweiterte Einstellungen des Programms „Verzeichnisdienste“ Mit den erweiterten Funktionen des Programms „Verzeichnisdienste“ können Sie Einträge von NFS-Aktivierungen (auch: Aktivierungspunkte oder Mount Points), Dienste und Suchpfade konfigurieren. Außerdem können Sie mithilfe des Programms „Verzeichnisdienste“ einen Computer per Fernzugriff konfigurieren. Nachfolgend werden die erweiterten Einstellungen des Programms „Verzeichnisdienste“ genannt: Â Verzeichnisserver wird verwendet, um einen Client-Computer oder Server per Fernzugriff zu konfigurieren. Â Aktivierungen wird verwendet, um NFS-Aktivierungen zu konfigurieren, die bei einem Neustart des Computers aktiviert werden. Â Dienste wird verwendet, um Verzeichnisserver zu konfigurieren, auf die Benutzer zugreifen können. Â Suchpfad wird verwendet, um festzulegen, wo der Computer nach Anmelde- und Kontaktinformationen von Benutzern sucht. Einrichten des Programms „Verzeichnisdienste“ per Fernzugriff auf einem Server Sie können das Programm „Verzeichnisdienste“ auf Ihrem Computer verwenden, um den Zugriff von Mac OS X Server auf Verzeichnisdienste einzurichten und zu verwalten. Gehen Sie wie folgt vor, um die Verzeichnisdienste auf einem entfernten Server zu konfigurieren: 1 Öffnen Sie das Programm „Verzeichnisdienste“ auf Ihrem Computer und wählen Sie dann aus dem Menü „Ablage“ die Option „Verbinden“ aus. 2 Geben Sie die folgenden Informationen für die Verbindung und Identifizierung für den Server ein, der konfiguriert werden soll. Adresse: Geben Sie den DNS-Namen oder die IP-Adresse des Servers ein, den Sie konfigurieren möchten. Benutzername: Geben Sie den Benutzernamen eines Administrators des Servers ein. Kennwort: Geben Sie das Kennwort für den eingegebenen Benutzernamen ein. 3 Klicken Sie auf „Verbinden“. 4 Klicken Sie auf die Titel „Verzeichnisserver“, „Aktivierungen“, „Dienste“ und „Suchpfad“ und ändern Sie Einstellungen wie erforderlich. Alle vorgenommenen Änderungen gelten für den entfernten Server, zu dem Sie zuvor eine Verbindung hergestellt haben. 5 Wählen Sie aus dem Menü „Ablage“ auf Ihrem Computer den Befehl „Trennen“ aus. 146 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Konfigurieren von Aktivierungen für die lokale VerzeichnisDomain eines Computers Mit dem Programm „Verzeichnisdienste“ können Sie NFS-Aktivierungen (Mount Points) für Ihren Computer konfigurieren. Bei NFS-Aktivierungen handelt es sich um Netzwerkordner, die von einem NFS-Server bereitgestellt werden. Mithilfe von NFS-Netzwerkordnern können Sie Informationen für eine Benutzergruppe in einem Netzwerk oder für netzwerkbasierte Benutzerordner bereitstellen. Wenn Sie NFS-Aktivierungen auf Ihrem Computer mithilfe des Programms „Verzeichnisdienste“ konfigurieren, werden die Aktivierungen beim Start des Computers aktiviert. NFS-Aktivierungen werden im Bereich „Aktivierungen“ des Programms „Verzeichnisdienste“ aufgeführt. Im Bereich „Aktivierungen“ werden die NFS-URL-Adresse und der Ort der NFS-Aktivierungen auf dem Computer angezeigt. Hinzufügen einer Aktivierung zur lokalen Verzeichnis-Domain Vergewissern Sie sich beim Hinzufügen eines NFS-Servers, dass Ihnen die URL-Adresse des hinzuzufügenden NFS-Servers bekannt ist und Sie Zugriff auf den NFS-Netzwerkordner haben. Gehen Sie wie folgt vor, um eine Aktivierung hinzuzufügen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“). 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Klicken Sie auf „Erweiterte Einstellungen einblenden“ (falls die erweiterten Einstellungen nicht angezeigt werden). 4 Klicken Sie auf „Aktivierungen“ und danach auf die Taste „Hinzufügen“ (+). 5 Geben Sie die Einstellung für die NFS-Aktivierung wie folgt an: Geben Sie in das Feld „Entfernte NFS-URL“ die NFS-URL-Adresse ein. Geben Sie in das Feld „Aktivierungsort“ den Ort der lokalen Aktivierung ein. Klicken Sie auf das Dreiecksymbol links neben „Erweiterte Aktivierungsparameter“ und geben Sie die gewünschten Parameter ein. Markieren Sie das Feld „Als Nur-Lesen aktivieren“, um das NFS-Volume nur mit Lesezugriff zu aktivieren. Soll die NFS-Aktivierung Benutzer-ID-Zugriffsrechte ignorieren, markieren Sie das Feld „Zugriffsrechte zum Festlegen der Benutzer-ID („set user ID“) ignorieren“. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 147 6 Möchten Sie überprüfen, ob der NFS-Server reagiert, klicken Sie auf „Überprüfen“. Wenn das Programm „Verzeichnisdienste“ eine Antwort vom NFS-Server erhält, wird ein Hinweis zur erfolgreichen Kommunikation angezeigt. Erhält das Programm „Verzeichnisdienste“ keine Antwort vom NFS-Server, können Sie die Aktivierung durch Klicken auf „Erstellen“ anlegen. 7 Klicken Sie auf „Anwenden“. Die NFS-Aktivierungen werden im Bereich „Aktivierungen“ des Programms „Verzeichnisdienste“ angezeigt. Entfernen von Aktivierungen aus der lokalen Verzeichnis-Domain Wenn Sie eine NFS-Aktivierung aus dem Programm „Verzeichnisdienste“ entfernen, vergewissern Sie sich, dass Sie nicht den Aktivierungseintrag Ihres NFS-Benutzerordners löschen. Wird dieser Eintrag gelöscht, verlieren Sie den Zugriff auf Ihre Daten. Gehen Sie wie folgt vor, um einen Aktivierungseintrag zu entfernen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“). 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Klicken Sie auf „Erweiterte Einstellungen einblenden“ (falls die erweiterten Einstellungen nicht angezeigt werden). 4 Klicken Sie auf „Aktivierungen“. 5 Wählen Sie aus der Liste „Aktivierungen“ die NFS-Aktivierung aus, die gelöscht werden soll. 6 Klicken Sie auf die Taste „Löschen“ (–). 7 Wenn Sie sicher sind, dass Sie die richtige NFS-Aktivierung ausgewählt haben, klicken Sie auf „Löschen“. Bearbeiten einer Aktivierung in der lokalen Verzeichnis-Domain Sie können die Einstellungen einer vorhandenen NFS-Aktivierung mithilfe des Programms „Verzeichnisdienste“ ändern. Gehen Sie wie folgt vor, um eine Aktivierung zu bearbeiten: 1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“). 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Klicken Sie auf „Erweiterte Einstellungen einblenden“ (falls die erweiterten Einstellungen nicht angezeigt werden). 148 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 4 Klicken Sie auf „Aktivierungen“. 5 Wählen Sie aus der Liste „Aktivierungen“ die NFS-Aktivierung aus, die bearbeitet werden soll. 6 Klicken Sie auf die Taste „Bearbeiten“ (/). 7 Ändern Sie die Einstellungen der NFS-Aktivierung. Verwenden von erweiterten Einstellungen für Suchpfade Im Programm „Verzeichnisdienste“ sind die folgenden Suchpfade definiert: Â Identifizierung: Mac OS X verwendet den Suchpfad für die Identifizierung, um Benutzerinformationen zur Identifizierung und andere administrative Daten aufzufinden und aus Verzeichnis-Domains abzurufen. Â Kontakte: Mac OS X verwendet den Suchpfad für Kontakte, um Name, Adresse und andere Kontaktinformationen aufzufinden und aus Verzeichnis-Domains abzurufen. Das Mac OS X-Adressbuch nutzt diese Kontaktinformationen. Auch andere Programme können für die Nutzung dieser Informationen programmiert werden. Jeder Suchpfad besteht aus einer Liste mit Verzeichnis-Domains. Die Reihenfolge der Verzeichnis-Domains in der Liste definiert den Suchpfad. Mac OS X durchsucht beginnend vom Anfang der Liste alle aufgeführten Verzeichnis-Domains, bis die gesuchten Informationen gefunden werden oder das Ende der Liste erreicht ist. Die Suchpfade für Identifizierung und Kontakte können eine der folgenden Einstellungen aufweisen: Â Automatisch: Beginnt mit der lokalen Verzeichnis-Domain und kann ein von DHCP bereitgestelltes LDAP-Verzeichnis sowie Verzeichnis-Domains enthalten, mit denen der Computer verbunden ist. Hierbei handelt es sich um die Standardeinstellung für Mac OS X 10.2 (oder neuer), die Mobilcomputern die größte Flexibilität bietet. Â Lokales Verzeichnis: Umfasst nur die lokale Verzeichnis-Domain. Â Eigener Pfad: Beginnt mit der lokalen Verzeichnis-Domain und enthält Ihre gewählten LDAP-Verzeichnisse, eine Active Directory-Domain, gemeinsam genutzte Verzeichnis-Domains, BSD-Konfigurationsdateien und eine NIS-Domain. Wichtig: Wenn Sie Mac OS X für die Verwendung eines Suchpfads für die automatische Identifizierung und eines von DHCP bereitgestellten LDAP-Servers konfigurieren, erhöhen Sie das Risiko, dass ein unberechtigter Benutzer die Steuerung Ihres Computers übernimmt. Dieses Risiko ist noch höher, wenn Ihr Computer für den Zugang zu einem drahtlosen Netzwerk konfiguriert ist. Weitere Informationen hierzu finden Sie im Abschnitt „Schützen von Computern vor unberechtigten Zugriffen über einen DHCP-Server“ auf Seite 153. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 149 Aufgabenbeschreibungen und Anleitungen finden Sie an folgenden Stellen: Â „Definieren von automatischen Suchpfaden“ auf Seite 150 Â „Definieren von eigenen Suchpfaden“ auf Seite 151 Â „Definieren von Suchpfaden für das lokale Verzeichnis“ auf Seite 152 Â „Warten, bis die Änderung eines Suchpfads wirksam wird“ auf Seite 153 Definieren von automatischen Suchpfaden Mithilfe des Programms „Verzeichnisdienste“ können Sie die Suchpfade für Identifizierung und Kontakte eines Mac OS X-Computers so konfigurieren, dass sie automatisch definiert werden. Ein automatisch definierter Suchpfad enthält die lokale Verzeichnis-Domain. Er kann auch einen vom DHCP-Dienst angegebenen LDAP-Verzeichnisserver sowie gemeinsam genutzte Verzeichnis-Domains enthalten, mit denen der Computer verbunden ist. Dies ist die Standardkonfiguration für die Suchpfade für Identifizierung und Kontakte. Hinweis: Manche Programme, wie die Mac OS X-Programme „Mail“ und „Adressbuch“, können auf LDAP-Verzeichnisse direkt zugreifen, ohne Open Directory zu verwenden. Wenn Sie eines dieser Programme für den direkten Zugriff auf LDAP-Verzeichnisse konfigurieren möchten, öffnen Sie das Programm und legen Sie die korrekte Einstellung fest. Wichtig: Wenn Sie Mac OS X für die Verwendung eines Suchpfads für die automatische Identifizierung sowie eines von DHCP bereitgestellten LDAP-Servers oder einer von DHCP bereitgestellten gemeinsam genutzten Verzeichnis-Domain konfigurieren, erhöhen Sie das Risiko, dass ein unberechtigter Benutzer die Steuerung Ihres Computers übernimmt. Dieses Risiko ist noch höher, wenn Ihr Computer für den Zugang zu einem drahtlosen Netzwerk konfiguriert ist. Weitere Informationen hierzu finden Sie im Abschnitt „Schützen von Computern vor unberechtigten Zugriffen über einen DHCP-Server“ auf Seite 153. Gehen Sie wie folgt vor, um einen Suchpfad automatisch zu definieren: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und wählen Sie einen Suchpfad aus: Â Identifizierung: Zeigt den Suchpfad an, der für die Identifizierung und die meisten anderen administrativen Daten verwendet wird. Â Kontakte: Zeigt den Suchpfad an, der für Kontaktinformationen in Programmen wie dem Adressbuch verwendet wird. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 150 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 3 Wählen Sie aus dem Einblendmenü „Suchen“ die Einstellung „Automatisch“ aus und klicken Sie dann auf „Anwenden“. 4 Vergewissern Sie sich, dass in der Systemeinstellung „Netzwerk“ des Computers die Verwendung von DHCP oder DHCP mit manueller IP-Adresse konfiguriert ist. 5 Damit der automatische Suchpfad einen LDAP-Server umfasst, vergewissern Sie sich, dass die Verwendung eines von DHCP bereitgestellten LDAP-Verzeichnisses im Programm „Verzeichnisdienste“ aktiviert und der DHCP-Dienst für die Bereitstellung der Adresse des LDAP-Servers konfiguriert ist. Weitere Informationen hierzu finden Sie im Abschnitt „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses“ auf Seite 156. Informationen zum Konfigurieren des DHCP-Diensts von Mac OS X Server finden Sie im Handbuch Netzwerkdienste – Administration. Definieren von eigenen Suchpfaden Mithilfe des Programms „Verzeichnisdienste“ können Sie die Suchpfade für Identifizierung und Kontakte eines Mac OS X-Computers so konfigurieren, dass sie eine angepasste Liste von Verzeichnis-Domains verwenden. Eine angepasste Liste beginnt mit der lokalen Verzeichnis-Domain des Computers und kann Open Directory (und andere LDAP-Verzeichnis-Domains), eine Active DirectoryDomain, gemeinsam genutzte Verzeichnis-Domains, BSD-Konfigurationsdateien und eine NIS-Domain umfassen. Ist eine im angepassten Suchpfad eines Computers angegebene Verzeichnis-Domain nicht verfügbar, kommt es beim Starten des Computers zu einer Verzögerung. Gehen Sie wie folgt vor, um eine eigene Liste von Verzeichnis-Domains für einen Suchpfad anzugeben: 1 Klicken Sie im Programm „Verzeichnisdienste“ auf „Suchpfad“ und wählen Sie einen Suchpfad aus: Â Identifizierung: Zeigt den Suchpfad an, der für die Identifizierung und die meisten anderen administrativen Daten verwendet wird. Â Kontakte: Zeigt den Suchpfad an, der für Kontaktinformationen in Programmen wie dem Adressbuch verwendet wird. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie aus dem Einblendmenü „Suchen“ die Einstellung „Eigener Pfad“ aus. 4 Fügen Sie wie erforderlich Verzeichnis-Domains hinzu, indem Sie auf „Hinzufügen“ klicken, ein oder mehr Verzeichnisse auswählen und nochmals auf „Hinzufügen“ klicken. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 151 5 Ändern Sie die Reihenfolge der aufgelisteten Verzeichnis-Domains nach Bedarf, indem Sie sie in der Liste nach oben oder unten bewegen. 6 Entfernen Sie aufgelistete Verzeichnis-Domains, die nicht im Suchpfad enthalten sein sollen, indem Sie sie auswählen und auf die Taste „Löschen“ (–) klicken. 7 Bestätigen Sie den Löschvorgang durch Klicken auf „OK“ und klicken Sie dann auf „Anwenden“. Möchten Sie ein Verzeichnis hinzufügen, das nicht unter den verfügbaren Verzeichnissen aufgeführt wird, vergewissern Sie sich, dass der Computer für den Zugriff auf das Verzeichnis konfiguriert wurde. Weitere Informationen hierzu finden Sie in folgenden Abschnitten: Â „Verwenden erweiterter Einstellungen des Programms „Verzeichnisdienste““ auf Seite 154 Â „Verwenden erweiterter Einstellungen für den LDAP-Dienst“ auf Seite 155 Â „Verwenden erweiterter Einstellungen des Active Directory-Diensts“ auf Seite 185 Â „Festlegen von NIS-Einstellungen“ auf Seite 202 Â „Festlegen von Einstellungen für BSD-Konfigurationsdateien“ auf Seite 203 Definieren von Suchpfaden für das lokale Verzeichnis Mithilfe des Programms „Verzeichnisdienste“ können Sie die Suchpfade für Identifizierung und Kontakte eines Mac OS X-Computers so konfigurieren, dass nur das lokale Verzeichnis des Computers verwendet wird. Ein Suchpfad, der nur das lokale Verzeichnis verwendet, begrenzt den Zugriff, den ein Computer auf Informationen zur Identifizierung und andere administrative Daten hat. Wenn Sie den Suchpfad eines Computers zur Identifizierung auf die ausschließliche Verwendung des lokalen Verzeichnisses beschränken, können sich nur Benutzer mit lokalen Accounts anmelden. Gehen Sie wie folgt vor, damit ein Suchpfad nur die lokale Verzeichnis-Domain (das lokale Verzeichnis) verwendet: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und wählen Sie einen Suchpfad aus: Â Identifizierung: Zeigt den Suchpfad an, der für die Identifizierung und die meisten anderen administrativen Daten verwendet wird. Â Kontakte: Zeigt den Suchpfad an, der für Kontaktinformationen in Programmen wie dem Adressbuch verwendet wird. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie aus dem Einblendmenü „Suchen“ die Einstellung „Lokales Verzeichnis“ aus und klicken Sie dann auf „Anwenden“. 152 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Warten, bis die Änderung eines Suchpfads wirksam wird Warten Sie nach der Änderung des Suchpfads im Bereich „Identifizierung“ oder „Kontakte“ des Programms „Verzeichnisdienste“ 10 oder 15 Sekunden, bis die Änderung übernommen wird. Anmeldeversuche mit einem Account aus einer VerzeichnisDomain, die den Suchpfad für die Identifizierung verwendet, sind erst erfolgreich, wenn die vorgenommenen Änderungen wirksam werden. Schützen von Computern vor unberechtigten Zugriffen über einen DHCP-Server Apple empfiehlt, Suchpfade für die automatische Identifizierung mit einem von DHCP bereitgestellten LDAP-Server oder einer von DHCP bereitgestellten gemeinsam genutzten Verzeichnis-Domain nicht zu verwenden, wenn die Sicherheit in Ihrer Umgebung eine große Rolle spielt. Ein Hacker, der unberechtigten Zugriff auf Ihr Netzwerk erhält, kann einen DHCPScheinserver und ein LDAP-Scheinverzeichnis (oder eine gemeinsam genutzte Schein-Verzeichnis-Domain) verwenden, um Ihren Computer über den root-Benutzer-Account zu steuern. Damit ein Hacker auf Ihr Netzwerk zugreifen kann, muss der DHCP-Scheinserver des Hackers Teil Ihres lokalen Netzwerks oder Teilnetzes sein. Wenn Ihr lokales Netzwerk nur Ihre Computer umfasst und sie über den NAT-Dienst von Mac OS X Server oder einen NAT-Router auf das Internet zugreifen, ist daher eine solche Sicherheitslücke nicht möglich. In einem drahtlosen lokalen Netzwerk ist die Sicherheit jedoch geringer, da ein Hacker auf ein drahtloses lokales Netzwerk einfacher zugreifen kann als auf ein Kabelnetzwerk. Sie können Ihren Mac vor Angriffen durch einen DHCP-Scheinserver schützen, indem Sie die Verwendung eines von DHCP bereitgestellten LDAP-Verzeichnisses sowie den Datenverkehr und die DHCP-Bindung für die lokale Verzeichnis-Domain deaktivieren (bzw. die lokale Verzeichnis-Domain deaktivieren). Weitere Informationen hierzu finden Sie im Abschnitt „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAPVerzeichnisses“ auf Seite 156. Wenn Sie mit einem Mobilcomputer arbeiten, der bei einer bestehenden Verbindung zu einem Netzwerk eine Verbindung zu einen LDAP-Server herstellt und Sie den Suchpfad des Computers von „Automatisch“ zu „Eigener Pfad“ ändern (im Bereich „Identifizierung“ des Bereichs „Suchpfad“ im Programm „Verzeichnisdienste“), verzögert sich der Startvorgang, wenn der Computer nicht mit dem Netzwerk verbunden ist. Der Grund für die Verzögerung liegt darin, dass der Computer keine Verbindung zu einer bestimmten Verzeichnis-Domain herstellen kann, die im angepassten Suchpfad des Computers aufgelistet ist. Beim Beenden des Ruhezustands eines Computers, der während des Ruhezustands vom Netzwerk getrennt wurde, ist keine Verzögerung zu bemerken. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 153 Verwenden erweiterter Einstellungen des Programms „Verzeichnisdienste“ Im Programm „Verzeichnisdienste“ werden die verschiedenen Arten von Verzeichnisdiensten aufgeführt, auf die Mac OS X zugreifen kann. Die Liste enthält Verzeichnisdienste, die Mac OS X Zugriff auf Benutzerinformationen und andere, in VerzeichnisDomains gespeicherte administrative Daten geben. Sie können den Zugriff auf jeden Verzeichnisdienst aktivieren oder deaktivieren. Wenn Sie einen Dienst im Programm „Verzeichnisdienste“ deaktivieren, greift Mac OS X nicht mehr auf diesen Verzeichnisdienst zu. Aufgabenbeschreibungen und Anleitungen finden Sie an folgenden Stellen: Â „Aktivieren oder Deaktivieren des Active Directory-Diensts“ auf Seite 154 Â „Aktivieren oder Deaktivieren von LDAP-Verzeichnisdiensten“ auf Seite 154 Aktivieren oder Deaktivieren des Active Directory-Diensts Mit dem Programm „Verzeichnisdienste“ können Sie die Verwendung von Active Directory-Diensten aktivieren oder deaktivieren, die von einem Windows-Server bereitgestellt werden. Active Directory ist der Verzeichnisdienst von Windows 2000Servern und neuer. Wenn Sie Active Directory-Dienste deaktivieren und Active Directory-Domains Teil eines angepassten Suchpfads sind, werden sie im Bereich „Identifizierung“ oder „Kontakte“ des Bereichs „Suchpfad“ im Programm „Verzeichnisdienste“ in Rot aufgeführt. Gehen Sie wie folgt vor, um den Zugriff auf Active Directory zu aktivieren oder zu deaktivieren: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Aktivieren oder deaktivieren Sie neben „Active Directory“ das Markierungsfeld und klicken Sie auf „Anwenden“. Weitere Konfigurationsanleitungen finden Sie im Abschnitt „Verwenden erweiterter Einstellungen des Active Directory-Diensts“ auf Seite 185. Aktivieren oder Deaktivieren von LDAP-Verzeichnisdiensten Mit dem Programm „Verzeichnisdienste“ können Sie den Zugriff auf Verzeichnisdienste aktivieren oder deaktivieren, die mit den LDAP-Versionen 2 und 3 arbeiten. Ein einzelnes Plug-In für das Programm „Verzeichnisdienste“ mit der Bezeichnung „LDAPv3“ bietet Zugriff auf die beiden LDAP-Versionen 2 und 3. 154 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Die von Mac OS X Server bereitgestellten Verzeichnisdienste verwenden LDAPv3, das auch von vielen anderen Servern eingesetzt wird. LDAPv3 ist ein offener Standard, der häufig in heterogenen Netzwerken aus Macintosh, UNIX und Windows Systemen verwendet wird. Manche Server verwenden die ältere Version LDAPv2 für Verzeichnisdienste. Wenn Sie LDAP-Verzeichnisdienste deaktivieren und LDAP-Verzeichnisse Teil eines angepassten Suchpfads sind, werden sie im Bereich „Identifizierung“ oder „Kontakte“ des Bereichs „Suchpfad“ im Programm „Verzeichnisdienste“ in Rot aufgeführt. Gehen Sie wie folgt vor, um LDAP-Verzeichnisdienste zu aktivieren oder zu deaktivieren: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Aktivieren oder deaktivieren Sie neben „LDAPv3“ das Markierungsfeld und klicken Sie auf „Anwenden“. Weitere Konfigurationsanleitungen finden Sie im Abschnitt „Verwenden erweiterter Einstellungen für den LDAP-Dienst“ auf Seite 155. Verwenden erweiterter Einstellungen für den LDAP-Dienst Sie können einen Server mit Mac OS X Server oder einen Computer mit Mac OS X für den Zugriff auf bestimmte LDAP-Verzeichnisse, einschließlich des LDAP-Verzeichnisses eines Mac OS X Server Open Directory-Masters, konfigurieren. Aufgabenbeschreibungen und Anleitungen finden Sie unter folgenden Themen: Â „Zugreifen auf LDAP-Verzeichnisse mit den Programmen „Mail“ und „Adressbuch““ auf Seite 156 Â „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses“ auf Seite 156 Â „Ein- oder Ausblenden von Konfigurationen für LDAP-Server“ auf Seite 158 Â „Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 158 Â „Konfigurieren des manuellen Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 161 Â „Ändern einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis“ auf Seite 164 Â „Duplizieren einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis“ auf Seite 165 Â „Löschen einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis“ auf Seite 168 Â „Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis“ auf Seite 169 Â „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf Seite 170 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 155 Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â „Konfigurieren von LDAP-Suchen und -Zuordnungen“ auf Seite 172 „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175 „Stoppen der vertrauenswürdigen Bindung zu einem LDAP-Verzeichnis“ auf Seite 177 „Ändern des Zeitlimits für Öffnen & Schließen einer LDAP-Verbindung“ auf Seite 178 „Ändern des Zeitlimits für Abfragen einer LDAP-Verbindung“ auf Seite 178 „Ändern der Verzögerungszeit für erneute Versuche einer LDAP-Verbindung“ auf Seite 179 „Ändern des Zeitlimits für eine inaktive LDAP-Verbindung“ auf Seite 179 „Erzwingen von schreibgeschütztem LDAPv2-Zugriff“ auf Seite 180 „Ignorieren von LDAP-Server-Verweisen“ auf Seite 180 „Identifizieren einer LDAP-Verbindung“ auf Seite 181 „Ändern des Kennworts für die Identifizierung einer LDAP-Verbindung“ auf Seite 181 „Zuordnen von „Config“-Datensatzattributen für LDAP-Verzeichnisse“ auf Seite 182 „Bearbeiten der RFC 2307-Zuordnung zum Aktivieren der Benutzererstellung“ auf Seite 182 „Vorbereiten eines schreibgeschützten LDAP-Verzeichnisses für Mac OS X“ auf Seite 184 „Füllen von LDAP-Verzeichnissen mit Daten für Mac OS X“ auf Seite 184 Zugreifen auf LDAP-Verzeichnisse mit den Programmen „Mail“ und „Adressbuch“ Sie können Mac OS X Mail, Adressbuch und einige ähnliche Programme so konfigurieren, dass sie direkt auf bestimmte LDAP-Verzeichnisse zugreifen, ohne Open Directory zu verwenden. Weitere Informationen erhalten Sie, indem Sie Mail öffnen und „Hilfe“ > „Mail-Hilfe“ auswählen oder das Adressbuch öffnen und „Hilfe“ > „Adressbuch-Hilfe“ auswählen und anschließend nach Hilfeinformationen zu LDAP suchen. Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses Mithilfe des Programms „Verzeichnisdienste“ können Sie einen Mac OS X-Computer so konfigurieren, dass er beim Start die Adresse eines LDAP-Verzeichnisservers abruft. Mac OS X fordert die Adresse eines LDAP-Verzeichnis-Servers beim DHCP-Server an, der auch die IP-Adresse des Computers, die Router-Adresse und die Adresse des DNSServers bereitstellt. Mac OS X fügt die von DHCP bereitgestellte Adresse des LDAPServers zum automatischen Suchpfad des Computers hinzu. Der über DHCP bereitgestellte LDAP-Server wird auch (grau) in der Liste der LDAP-Konfigurationen angezeigt. 156 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Weitere Informationen hierzu finden Sie in den Abschnitten „Definieren von automatischen Suchpfaden“ auf Seite 150 und „Ändern einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis“ auf Seite 164. Der Computer lässt sich nicht so konfigurieren, dass er sowohl eine vertrauenswürdige LDAP-Bindung als auch ein von DHCP bereitgestelltes LDAP-Verzeichnis verwendet. Bei einer vertrauenswürdigen LDAP-Bindung handelt es sich von Natur aus um eine statische Bindung, bei über DHCP bereitgestelltem LDAP um eine dynamische Bindung. Weitere Informationen hierzu finden Sie in den Abschnitten „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175 und „Festlegen einer Bindungsrichtlinie für einen Open Directory-Server“ auf Seite 217. Wichtig: Wenn Sie Mac OS X für die Verwendung eines Suchpfads für die automatische Identifizierung sowie eines von DHCP bereitgestellten LDAP-Servers oder einer von DHCP bereitgestellten gemeinsam genutzten Verzeichnis-Domain konfigurieren, erhöhen Sie das Risiko, dass ein unberechtigter Benutzer die Steuerung Ihres Computers übernimmt. Dieses Risiko ist noch höher, wenn Ihr Computer für den Zugang zu einem drahtlosen Netzwerk konfiguriert ist. Weitere Informationen hierzu finden Sie im Abschnitt „Schützen von Computern vor unberechtigten Zugriffen über einen DHCP-Server“ auf Seite 153. Gehen Sie wie folgt vor, um den automatischen Zugriff auf einen LDAP-Server zu aktivieren oder zu deaktivieren: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wählen Sie aus dem Einblendmenü „Umgebung“ eine Netzwerkumgebung aus. Die Option für von DHCP bereitgestellte LDAP-Server kann für jede in der Systemeinstellung „Netzwerk“ gewählte Netzwerkumgebung unabhängig aktiviert oder deaktiviert werden. 5 Klicken Sie auf „Vom DHCP-Server gelieferte LDAP-Server verwenden, um Suchpfade zu automatisieren“ und führen Sie einen der folgenden Schritte aus: Â Wenn Sie diese Einstellung deaktivieren, verwendet dieser Computer keinen von DHCP bereitgestellten LDAP-Verzeichnisserver. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 158. Â Wenn Sie diese Einstellung aktivieren, konfigurieren Sie den Server, der den DHCPDienst für diesen Computer bereitstellt, für die Bereitstellung der Adresse eines LDAP-Verzeichnisservers. Weitere Informationen hierzu finden Sie im Kapitel zu DHCP im Handbuch Netzwerkdienste – Administration. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 157 Ein- oder Ausblenden von Konfigurationen für LDAP-Server Sie können eine Liste verfügbarer Konfigurationen für den Zugriff auf LDAP-Verzeichnisse ein- oder ausblenden. Jede Konfiguration legt fest, wie Open Directory auf ein LDAP-Verzeichnis zugreift. Wird die Liste angezeigt, können Sie die Einstellungen für jede LDAP-Konfiguration ändern, die nicht grau dargestellt wird. Wird eine LDAP-Konfiguration grau dargestellt, wird die Konfiguration von DHCP bereitgestellt, wie im Abschnitt „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses“ auf Seite 156 beschrieben. Gehen Sie wie folgt vor, um verfügbare LDAP-Verzeichniskonfigurationen einoder auszublenden: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Klicken Sie auf „Optionen einblenden“ bzw. „Optionen ausblenden“. Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis Mithilfe des Programms „Verzeichnisdienste“ können Sie festlegen, wie Mac OS X auf ein LDAPv3-Verzeichnis zugreift, wenn Sie den DNS-Namen oder die IP-Adresse des LDAP-Verzeichnisservers kennen. Wird das Verzeichnis nicht von einem Server bereitgestellt, der eigene Zuordnungen liefert (etwa Mac OS X Server), muss Ihnen der Suchbeginn und die Vorlage für die Zuordnung von Mac OS X-Daten zu den Daten des Verzeichnisses bekannt sein. Unterstützte Zuordnungsvorlagen sind folgende: Â Open Directory-Server für ein Verzeichnis, das das Mac OS X ServerSchema verwendet Â Active Directory für ein Verzeichnis, das von einem Windows 2000- oder Windows 2003-Server oder neuer bereitgestellt wird Â RFC 2307 für die meisten von UNIX-Servern bereitgestellten Verzeichnisse Das LDAPv3-Plug-In unterstützt Open Directory-Replikation und Ausfallumschaltung (Failover) in vollem Umfang. Wenn der Open Directory-Master nicht mehr verfügbar ist, schaltet das Plug-In auf eine Replik in der Nähe um. Wenn Sie angepasste Zuordnungen für die Verzeichnisdaten festlegen möchten, befolgen Sie die Anleitungen im Abschnitt „Konfigurieren des manuellen Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 161 anstelle der hier genannten Schritte. 158 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Wichtig: Enthält der Name Ihres Computers einen Bindestrich, können Sie möglicherweise nicht auf eine Verzeichnis-Domain wie LDAP oder Active Directory zugreifen bzw. keine Verbindung dazu herstellen. Verwenden Sie einen Computernamen ohne Bindestrich, um die Verbindung herstellen zu können. Gehen Sie wie folgt vor, um mithilfe des Programms „Verzeichnisdienste“ den Zugriff auf ein LDAP-Verzeichnis zu konfigurieren: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). Sie können „LDAPv3“ in der Liste der Dienste auswählen, ohne das Feld „Aktiv“ für LDAPv3 zu markieren. 4 Klicken Sie auf „Neu“ und geben Sie den DNS-Namen oder die IP-Adresse des LDAPServers ein. 5 Wählen Sie die Optionen für den Zugriff auf das Verzeichnis aus: Â Wählen Sie „Verschlüsselung mit SSL“, wenn Open Directory SSL (Secure Sockets Layer) für Verbindungen mit dem LDAP-Verzeichnis verwenden soll. Erkundigen Sie sich vor Auswahl dieser Option bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist. Â Wählen Sie „Für Identifizierung verwenden“, wenn dieses Verzeichnis BenutzerAccounts enthält, die zur Anmeldung oder Identifizierung bei Diensten verwendet werden. Â Wählen Sie „Für Kontakte verwenden“, wenn dieses Verzeichnis E-Mail-Adressen und weitere Informationen enthält, die Sie im Adressbuch verwenden möchten. Wenn das Programm „Verzeichnisdienste“ keine Verbindung zum LDAP-Server herstellen kann, wird eine entsprechende Meldung angezeigt und Sie müssen den Zugriff manuell konfigurieren oder die Konfiguration abbrechen. Weitere Informationen zu Anleitungen für die manuelle Konfiguration finden Sie im Abschnitt „Konfigurieren des manuellen Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 161. Wenn im erweiterten Dialogfenster Zuordnungsoptionen angezeigt werden, wählen Sie die Zuordnungsvorlage aus dem Einblendmenü aus, geben das Suffix des Suchbeginns ein und klicken dann auf „Fortfahren“. Normalerweise wird das Suchbeginn-Suffix vom DNS-Namen des Servers abgeleitet. Das Suchbeginn-Suffix für einen Server mit dem DNS-Namen „ods.example.com“ könnte etwa „dc=ods,dc=example, dc=com“ lauten. Gelten keine der verfügbaren Zuordnungsvorlagen für die einzurichtende Verbindung, klicken Sie auf „Manuell“. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren des manuellen Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 161. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 159 6 Klicken Sie auf „Fortfahren“, damit das Programm „Verzeichnisdienste“ Informationen vom LDAP-Server abruft. 7 Wird das Dialogfenster erweitert, um Optionen für eine vertrauenswürdige Bindung anzuzeigen, geben Sie den Namen des Computers sowie Name und Kennwort eines Verzeichnisadministrators ein (die Bindung ist ggf. optional). Das Dialogfenster informiert Sie darüber, ob für das LDAP-Verzeichnis eine vertrauenswürdige Bindung erforderlich oder optional ist. Die vertrauenswürdige Bindung ist beidseitig: Immer wenn sich der Computer mit dem LDAP-Verzeichnis verbindet, identifizieren sich beide gegenseitig. Wenn die vertrauenswürdige Bindung bereits konfiguriert ist oder das LDAP-Verzeichnis keine vertrauenswürdigen Bindungen unterstützt, wird die Taste „Einbinden“ nicht angezeigt. Vergewissern Sie sich, dass Sie den richtigen Computernamen angegeben haben. Wenn eine Meldung mit dem Hinweis angezeigt wird, dass ein Computereintrag vorhanden ist, klicken Sie auf „Abbrechen“, um einen Schritt zurückzugehen und den Computernamen zu ändern. Sie können auch auf „Überschreiben“ klicken, um den vorhandenen Computereintrag zu ersetzen. Der vorhandene Computereintrag wird eventuell nicht mehr genutzt oder könnte zu einem anderen Computer gehören. Wenn Sie einen vorhandenen Computereintrag ersetzen, informieren Sie den Administrator des LDAP-Verzeichnisses darüber, falls durch das Ersetzen des Eintrags ein anderer Computer deaktiviert wird. In diesem Fall muss der Administrator dem deaktivierten Computer einen anderen Namen zuweisen und ihn wieder zur entsprechenden Computergruppe hinzufügen. Weitere Informationen zum Hinzufügen eines Computers zu einer Computergruppe finden Sie im Kapitel zu Computergruppen im Handbuch Benutzerverwaltung. 8 Wenn das Dialogfenster erweitert wird, um Verbindungsoptionen anzuzeigen, wählen Sie „Beim Verbindungsaufbau identifizieren“ aus und geben Sie den Namen und das Kennwort eines Benutzer-Accounts in das Verzeichnis ein. Die Optionen für eine identifizierte Verbindung werden angezeigt, wenn der LDAPServer eine identifizierte Verbindung, jedoch keine vertrauenswürdige Bindung unterstützt. Die Identifizierung geschieht nicht beidseitig: Der LDAP-Server identifiziert den Client, der Client identifiziert jedoch nicht den Server. Die Option „Beim Verbindungsaufbau identifizieren“ ist bereits ausgewählt, wird jedoch grau angezeigt, wenn Sie für den LDAP-Server Name und Kennwort eines BenutzerAccounts eingeben müssen, um eine identifizierte Verbindung zu erhalten. Der Name (Distinguished Name) kann jeden Benutzer-Account mit Berechtigung zum Anzeigen von Daten im Verzeichnis festlegen. Ein Benutzer-Account, dessen Kurzname auf einem LDAP-Server mit der Adresse „ods.example.com“ beispielsweise „dirauth“ lautet, hat folgenden Namen: uid=dirauth,cn=users,dc=ods,dc=example,dc=com. 160 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Wichtig: Sind Name oder Kennwort falsch, können Sie sich über Benutzer-Accounts aus dem LDAP-Verzeichnis beim Computer anmelden. 9 Klicken Sie auf „OK“, um die Erstellung einer LDAP-Verbindung abzuschließen. 10 Klicken Sie auf „OK“, um die Konfiguration von LDAPv3-Optionen abzuschließen. Wenn Sie in Schritt 5 „Für Identifizierung verwenden“ oder „Für Kontakte verwenden“ ausgewählt haben, wird die erstellte LDAP-Verzeichniskonfiguration zu einem angepassten Suchpfad im Bereich „Identifizierung“ oder „Kontakte“ des Programms „Verzeichnisdienste“ hinzugefügt. Vergewissern Sie sich, dass LDAPv3 im Bereich „Dienste“ aktiviert ist, sodass der Computer die erstellte LDAP-Konfiguration verwendet. Weitere Informationen hierzu finden Sie im Abschnitt „Aktivieren oder Deaktivieren von LDAP-Verzeichnisdiensten“ auf Seite 154. Konfigurieren des manuellen Zugriffs auf ein LDAP-Verzeichnis Sie können manuell eine Konfiguration erstellen, die den Zugriff von Mac OS X auf ein LDAPv3- oder LDAPv2-Verzeichnis festlegt. Ihnen muss der DNS-Name oder die IP-Adresse des LDAP-Verzeichnisservers bekannt sein. Falls das Verzeichnis nicht von Mac OS X Server bereitgestellt wird, müssen Sie den Suchbeginn und die Vorlage zum Zuordnen von Mac OS X-Daten zu den Daten des Verzeichnisses kennen. Die unterstützten Zuordnungsvorlagen sind folgende: Â Vom Server für ein Verzeichnis, das eigene Zuordnungen und einen eigenen Suchbeginn angibt, etwa Mac OS X Server Â Open Directory-Server für ein Verzeichnis, das das Mac OS X ServerSchema verwendet Â Active Directory für ein Verzeichnis, das von einem Windows 2000- oder Windows 2003-Server oder neuer bereitgestellt wird Â RFC 2307 für die meisten von UNIX-Servern bereitgestellten Verzeichnisse Â Eigene für Verzeichnisse, die keine der oben genannten Zuordnungen verwenden Das LDAPv3-Plug-In unterstützt Open Directory-Replikation und Ausfallumschaltung (Failover) in vollem Umfang. Wenn der Open Directory-Master nicht mehr verfügbar ist, schaltet das Plug-In auf eine Replik in der Nähe um. Wichtig: Enthält der Name Ihres Computers einen Bindestrich, können Sie möglicherweise nicht auf eine Verzeichnis-Domain wie LDAP oder Active Directory zugreifen bzw. keine Verbindung dazu herstellen. Verwenden Sie einen Computernamen ohne Bindestrich, um die Verbindung herstellen zu können. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 161 Gehen Sie wie folgt vor, um den Zugriff auf ein LDAP-Verzeichnis manuell zu konfigurieren: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). Sie können „LDAPv3“ in der Liste der Dienste auswählen, ohne das Feld „Aktiv“ für LDAPv3 zu markieren. 4 Klicken Sie auf „Neu“ und anschließend auf „Manuell“. 5 Geben Sie einen Namen für die Konfiguration ein. 6 Drücken Sie die Tabulatortaste und geben Sie den DNS-Namen oder die IP-Adresse des Servers ein, der Host des LDAP-Verzeichnisses ist, auf das Sie zugreifen wollen. 7 Klicken Sie neben dem DNS-Namen oder der IP-Adresse auf das Einblendmenü und wählen Sie eine Zuordnungsvorlage oder -methode aus: Â Bei der Auswahl von „Vom Server“ wird kein Suchbeginn-Suffix benötigt. In diesem Fall nimmt Open Directory an, dass das Suchbeginn-Suffix die erste Ebene des LDAPVerzeichnisses ist. Â Bei der Auswahl einer Vorlage geben Sie das Suchbeginn-Suffix für das LDAP-Verzeichnis ein und klicken Sie auf „OK“. Sie müssen ein Suchbereich-Suffix eingeben, ansonsten kann der Computer keine Informationen im LDAP-Verzeichnis finden. Normalerweise wird das Suchbeginn-Suffix vom DNS-Namen des Servers abgeleitet. Das Suchbeginn-Suffix für einen Server mit dem DNS-Namen „ods.example.com“ könnte etwa „dc=ods,dc=example, dc=com“ lauten. Â Bei der Auswahl von „Eigene“ müssen Sie Zuordnungen zwischen Mac OS X-Datensatztypen und -attributen und den Klassen und Attributen des LDAP-Verzeichnisses einrichten, zu dem Sie eine Verbindung herstellen. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren von LDAP-Suchen und -Zuordnungen“ auf Seite 172. 8 Erkundigen Sie sich vor der Auswahl des Markierungsfelds „Verschlüsselung mit SSL“ bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist. 162 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 9 Wenn Sie die folgenden Einstellungen für diese LDAP-Konfiguration ändern möchten, klicken Sie auf „Bearbeiten“, um die Optionen für die gewählte LDAP-Konfiguration anzuzeigen. Nehmen Sie dann Änderungen vor und klicken Sie auf „OK“, wenn Sie mit der Bearbeitung der LDAP-Konfigurationsoptionen fertig sind. Â Klicken Sie auf „Verbindung“, um Optionen für die Zeitüberschreitung festzulegen, einen eigenen Port anzugeben, Server-Verweise zu ignorieren oder die Verwendung des LDAPv2-Protokolls (schreibgeschützt) zu erzwingen. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis“ auf Seite 169. Â Klicken Sie auf „Suche & Pfade“, um Suchvorgänge und Zuordnungen bzw. Pfade für einen LDAP-Server zu konfigurieren. Weitere Informationen hierzu finden Sie im Abschnitt „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175. Â Klicken Sie auf „Sicherheit“, um eine identifizierte Verbindung (anstelle einer vertrauenswürdigen Bindung) und andere Optionen für Sicherheitsrichtlinien einzurichten. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf Seite 170. Â Klicken Sie auf „Einbinden“, um vertrauenswürdige Bindungen einzurichten (sofern das LDAP-Verzeichnis dies unterstützt). Weitere Informationen hierzu finden Sie im Abschnitt „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175. 10 Klicken Sie auf „OK“, um die manuelle Erstellung der Konfiguration für den Zugriff auf ein LDAP-Verzeichnis abzuschließen. 11 Wenn der Computer auf das LDAP-Verzeichnis zugreifen soll, für das Sie eine Konfiguration erstellt haben, fügen Sie das Verzeichnis zu einem eigenen Suchpfad in den Bereichen „Identifizierung“ und „Kontakte“ des Bereichs „Suchpfad“ im Programm „Verzeichnisdienste“ hinzu. Vergewissern Sie sich anschließend, dass „LDAPv3“ im Bereich „Dienste“ aktiviert ist. Weitere Informationen finden Sie in den Abschnitten „Aktivieren oder Deaktivieren von LDAP-Verzeichnisdiensten“ auf Seite 154 und „Definieren von eigenen Suchpfaden“ auf Seite 151. Hinweis: Damit Sie den Arbeitsgruppenmanager zum Erstellen von Benutzern auf einem nicht von Apple stammenden LDAP-Server, der RFC 2307-Zuordnungen (UNIX) verwendet, nutzen können, müssen Sie die Zuordnung des Datensatztyps „Users“ bearbeiten. Weitere Informationen hierzu finden Sie im Abschnitt „Bearbeiten der RFC 2307Zuordnung zum Aktivieren der Benutzererstellung“ auf Seite 182. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 163 Wichtig: Wenn Sie die IP-Adresse und den Computernamen mithilfe des Befehls changeip ändern, während Sie mit einem Verzeichnisserver verbunden sind, müssen Sie die Verbindung zum Verzeichnisserver zuerst trennen und dann wieder herstellen. Dadurch wird das Verzeichnis mit dem neuen Computernamen und der neuen IP-Adresse aktualisiert. Wenn Sie die Verbindung mit Verzeichnisserver nicht trennen und dann wiederherstellen, wird das Verzeichnis nicht aktualisiert und verwendet weiterhin den alten Computernamen und die alte IP-Adresse. Ändern einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis Mit dem Programm „Verzeichnisdienste“ können Sie die Einstellungen einer LDAPVerzeichniskonfiguration ändern. Die Konfigurationseinstellungen legen fest, wie Open Directory auf ein LDAPv3- oder LDAPv2-Verzeichnis zugreift. Wenn die LDAP-Konfiguration von DHCP bereitgestellt wurde, lässt sie sich nicht ändern. Daher wird diese Konfiguration in der Liste der LDAP-Konfigurationen grau dargestellt. Gehen Sie wie folgt vor, um eine Konfiguration für den Zugriff auf ein LDAP-Verzeichnis zu bearbeiten: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Nehmen Sie wie erforderlich Änderungen an den folgenden Einstellungen vor: Â Aktiv: Klicken Sie auf ein Markierungsfeld, um den Zugriff auf einen LDAP-Verzeichnisserver zu aktivieren oder zu deaktivieren. Â Konfigurations-Name: Wählen Sie einen Konfigurationsnamen durch Doppelklicken aus, um ihn zu bearbeiten. Â Servername oder IP-Adresse: Wählen Sie einen Servernamen oder eine IP-Adresse durch Doppelklicken aus, um sie zu ändern. Â LDAP-Pfade: Wählen Sie aus dem Einblendmenü eine Vorlage aus, geben Sie das Suchbeginn-Suffix für das LDAP-Verzeichnis ein und klicken Sie auf „OK“. Wenn Sie eine Vorlage auswählen, müssen Sie ein Suchbeginn-Suffix eingeben, da der Computer sonst keine Informationen im LDAP-Verzeichnis finden kann. Normalerweise wird das Suchbeginn-Suffix vom DNS-Namen des Servers abgeleitet. Für einen Server mit dem DNS-Namen „ods.example.com“ lautet das Suchbeginn-Suffix beispielsweise „dc=ods,dc=example,dc=com“. Wenn Sie anstelle einer Vorlage „Vom Server“ auswählen, wird kein Suchbeginn-Suffix benötigt. In diesem Fall nimmt Open Directory an, dass das Suchbeginn-Suffix die erste Ebene des LDAP-Verzeichnisses ist. 164 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Bei der Auswahl von „Eigene“ müssen Sie Zuordnungen zwischen Mac OS X-Datensatztypen und -attributen und den Klassen und Attributen des LDAP-Verzeichnisses einrichten, zu dem Sie eine Verbindung herstellen. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren von LDAP-Suchen und -Zuordnungen“ auf Seite 172. Â SSL: Klicken Sie auf das Markierungsfeld, um die Verschlüsselung der Kommunikation mit dem SSL-Protokoll zu aktivieren oder zu deaktivieren. Erkundigen Sie sich vor Auswahl des Markierungsfeld „SSL“ bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist. 6 Wenn Sie die folgenden Standardeinstellungen für diese LDAP-Konfiguration ändern möchten, klicken Sie auf „Bearbeiten“, um die Optionen für die gewählte LDAP-Konfiguration anzuzeigen. Nehmen Sie dann Änderungen vor und klicken Sie auf „OK“, wenn Sie mit der Bearbeitung der LDAP-Konfigurationsoptionen fertig sind. Â Klicken Sie auf „Verbindung“, um Optionen für die Zeitüberschreitung festzulegen, einen eigenen Port anzugeben, Server-Verweise zu ignorieren oder die Verwendung des LDAPv2-Protokolls (schreibgeschützt) zu erzwingen. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis“ auf Seite 169. Â Klicken Sie auf „Suche & Pfade“, um Suchvorgänge und Zuordnungen bzw. Pfade für einen LDAP-Server zu konfigurieren. Weitere Informationen hierzu finden Sie im Abschnitt „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175. Â Klicken Sie auf „Sicherheit“, um eine identifizierte Verbindung (anstelle einer vertrauenswürdigen Bindung) und andere Optionen für Sicherheitsrichtlinien einzurichten. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf Seite 170. Â Klicken Sie auf „Einbinden“, um eine vertrauenswürdige Bindung einzurichten. Klicken Sie auf „Trennen“, um die vertrauenswürdige Bindung zu beenden. (Diese Tasten werden u. U. nicht angezeigt, wenn das LDAP-Verzeichnis keine vertrauenswürdige Bindung zulässt.) Weitere Informationen hierzu finden Sie im Abschnitt „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175. 7 Klicken Sie auf „OK“, um die Änderung der Konfiguration für den Zugriff auf ein LDAPVerzeichnis abzuschließen. Duplizieren einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis Mit dem Programm „Verzeichnisdienste“ können Sie eine Konfiguration duplizieren, die festlegt, wie Mac OS X auf ein LDAPv3- oder LDAPv2-Verzeichnis zugreift. Nach dem Duplizieren einer LDAP-Verzeichniskonfiguration können Sie die zugehörigen Einstellungen ändern, damit sie sich von der Originalkonfiguration unterscheidet. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 165 Gehen Sie wie folgt vor, um eine Konfiguration für den Zugriff auf ein LDAPVerzeichnis zu duplizieren: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Serverkonfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie dann auf „Duplizieren“. 6 Ändern Sie die Einstellungen der duplizierten Konfiguration: Â Aktiv: Klicken Sie auf ein Markierungsfeld, um den Zugriff auf einen LDAP-Verzeichnisserver zu aktivieren oder zu deaktivieren. Â Konfigurations-Name: Wählen Sie einen Konfigurationsnamen durch Doppelklicken aus, um ihn zu bearbeiten. Â Servername oder IP-Adresse: Wählen Sie einen Servernamen oder eine IP-Adresse durch Doppelklicken aus, um sie zu ändern. Â LDAP-Pfade: Wählen Sie eine Vorlage aus dem Einblendmenü aus, geben Sie dann das Suchbeginn-Suffix für das LDAP-Verzeichnis ein und klicken Sie auf „OK“. Wenn Sie eine Vorlage auswählen, müssen Sie ein Suchbeginn-Suffix eingeben, da der Computer sonst keine Informationen im LDAP-Verzeichnis finden kann. Normalerweise wird das Suchbeginn-Suffix vom DNS-Namen des Servers abgeleitet. Für einen Server mit dem DNS-Namen „ods.example.com“ lautet das Suchbeginn-Suffix beispielsweise „dc=ods,dc=example,dc=com“. Wenn Sie anstelle einer Vorlage „Vom Server“ auswählen, wird kein Suchbeginn-Suffix benötigt. In diesem Fall nimmt Open Directory an, dass das Suchbeginn-Suffix die erste Ebene des LDAP-Verzeichnisses ist. Bei der Auswahl von „Eigene“ müssen Sie Zuordnungen zwischen Mac OS X-Datensatztypen und -attributen und den Klassen und Attributen des LDAP-Verzeichnisses einrichten, zu dem Sie eine Verbindung herstellen. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren von LDAP-Suchen und -Zuordnungen“ auf Seite 172. Â SSL: Klicken Sie auf das Markierungsfeld, um die Verschlüsselung der Kommunikation mit dem SSL-Protokoll zu aktivieren oder zu deaktivieren. Erkundigen Sie sich vor Auswahl des Markierungsfeld „SSL“ bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist. 166 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 7 Wenn Sie die folgenden Standardeinstellungen für die duplizierte LDAP-Konfiguration ändern möchten, klicken Sie auf „Bearbeiten“, um die Optionen anzuzeigen und nehmen Sie Ihre Änderungen vor. Klicken Sie auf „OK“, wenn Sie mit der Bearbeitung fertig sind: Â Klicken Sie auf „Verbindung“, um eine vertrauenswürdige Bindung einzurichten (vorausgesetzt, das LDAP-Verzeichnis unterstützt dies), Optionen für die Zeitüberschreitung festzulegen, einen eigenen Port anzugeben, Server-Verweise zu ignorieren oder die Verwendung des LDAPv2-Protokolls (schreibgeschützt) zu erzwingen. Nähere Anleitungen hierzu finden Sie im Abschnitt „Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis“ auf Seite 169. Â Klicken Sie auf „Suche & Pfade“, um Suchvorgänge und Zuordnungen bzw. Pfade für einen LDAP-Server zu konfigurieren. Weitere Informationen hierzu finden Sie im Abschnitt „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175. Â Klicken Sie auf „Sicherheit“, um eine identifizierte Verbindung (anstelle einer vertrauenswürdigen Bindung) und andere Optionen für Sicherheitsrichtlinien einzurichten. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf Seite 170. Â Klicken Sie auf „Einbinden“, um eine vertrauenswürdige Bindung einzurichten. Klicken Sie auf „Trennen“, um die vertrauenswürdige Bindung zu stoppen. (Diese Tasten werden u. U. nicht angezeigt, wenn das LDAP-Verzeichnis keine vertrauenswürdige Bindung zulässt.) Weitere Informationen hierzu finden Sie im Abschnitt „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175. 8 Klicken Sie auf „OK“, um das Ändern der duplizierten Konfiguration abzuschließen. 9 Wenn der Computer auf das LDAP-Verzeichnis zugreifen soll, das von der erstellten duplizierten Konfiguration angegeben wird, fügen Sie das Verzeichnis zu einem eigenen Suchpfad im Bereich „Identifizierung“ oder „Kontakte“ des Bereichs „Suchpfad“ im Programm „Verzeichnisdienste“ hinzu. Vergewissern Sie sich anschließend, dass „LDAPv3“ im Bereich „Dienste“ aktiviert ist. Weitere Informationen finden Sie in den Abschnitten „Aktivieren oder Deaktivieren von LDAP-Verzeichnisdiensten“ auf Seite 154 und „Definieren von eigenen Suchpfaden“ auf Seite 151. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 167 Löschen einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis Mit dem Programm „Verzeichnisdienste“ können Sie eine Konfiguration löschen, die festlegt, wie der Computer auf ein LDAPv3- oder LDAPv2-Verzeichnis zugreift. Wenn die LDAP-Konfiguration von DHCP bereitgestellt wurde, lässt sie sich nicht ändern. Daher wird diese Konfiguration in der Liste der LDAP-Konfigurationen grau dargestellt. Gehen Sie wie folgt vor, um eine Konfiguration für den Zugriff auf ein LDAP-Verzeichnis zu löschen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Löschen“. Klicken Sie dann auf „OK“. Wenn eine Warnmeldung mit dem Hinweis angezeigt wird, dass der Computer mit dem LDAP-Verzeichnis verbunden ist und Sie die vertrauenswürdige Bindung trennen möchten, klicken Sie auf „OK“. Geben Sie dann den Namen und das Kennwort eines LDAP-Verzeichnisadministrators ein (nicht eines lokalen Computeradministrators). Weist eine Warnmeldung darauf hin, dass der Computer den LDAP-Server nicht erreichen kann, können Sie auf „OK“ klicken, um die vertrauenswürdige Bindung sofort zu trennen. Wenn Sie die vertrauenswürdige Bindung sofort trennen, bleibt der Computereintrag des Computers im LDAP-Verzeichnis erhalten. Informieren Sie den LDAP-Verzeichnisadministrator, damit dieser den Computer aus der Computergruppe entfernt. Weitere Informationen zum Entfernen eines Computers aus dieser Computergruppe finden Sie im Kapitel zu Computergruppen im Handbuch Benutzerverwaltung. Die gelöschte Konfiguration wird aus den angepassten Suchpfaden für Identifizierung und Kontakte entfernt. 168 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis Mit dem Programm „Verzeichnisdienste“ können Sie die Verbindungseinstellungen einer Konfiguration ändern, die festlegt, wie der Computer auf ein LDAPv3- oder LDAPv2-Verzeichnis zugreift. Gehen Sie wie folgt vor, um die Verbindungseinstellungen für den Zugriff auf ein LDAP-Verzeichnis zu ändern: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“. 6 Klicken Sie auf „Verbindung“ und ändern Sie beliebige der folgenden Einstellungen: Â Konfigurationsname: Identifiziert diese Konfiguration in der Liste der LDAP-Verzeichniskonfigurationen. (Sie können auch den Namen in der Liste der LDAP-Verzeichniskonfigurationen ändern.) Â Servername oder IP-Adresse: Gibt den DNS-Namen oder die IP-Adresse des Servers an. (Sie können diese Einstellung auch in der Liste der LDAP-Verzeichniskonfigurationen ändern.) Â Zeitlimit für Öffnen/Schließen: Gibt an, wie lange ein Verbindungsversuch maximal dauert, bevor er abgebrochen wird. Â Zeitlimit für Abfrage: Gibt an, wie lange eine Abfrage maximal dauert, bevor sie abgebrochen wird. Â Erneuter Verbindungsversuch nach: Gibt an, wie viele Sekunden vor einem erneuten Verbindungsversuch gewartet wird, wenn der LDAP-Server nicht reagiert. Erhöhen Sie diesen Wert, um ständige Verbindungsversuche zu vermeiden. Â Inaktive Verbindung schließen nach: Gibt an, wie viele Minuten eine ungenutzte oder nicht reagierende Verbindung bestehen bleibt. Â Verschlüsselung mit SSL: Bestimmt, ob die Kommunikation mit dem LDAP-Verzeichnis mithilfe einer SSL-Verbindung verschlüsselt werden soll. (Sie können diese Einstellung auch in der Liste der LDAP-Verzeichniskonfigurationen ändern.) Erkundigen Sie sich vor Auswahl des Markierungsfeld „SSL“ bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 169 Â Eigenen Port verwenden: Gibt eine andere Portnummer als die des Standardports für LDAP-Verbindungen an (389 ohne SSL, 636 mit SSL). Â Verweise des Servers ignorieren: Bestimmt, ob der Verweis eines LDAP-Servers zum Suchen nach Informationen auf anderen LDAP-Servern oder Repliken ignoriert oder befolgt werden soll. Serververweise können einen Computer bei der Suche nach Informationen unterstützen, können aber auch die Anmeldung verzögern oder andere Verzögerungen verursachen, wenn der Computer Verweise auf andere LDAP-Server überprüfen muss. Â LDAPv2 verwenden (schreibgeschützt): Bestimmt, ob das ältere LDAPv2-Protokoll für den Lesezugriff auf das LDAP-Verzeichnis verwendet werden soll. Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung Mit dem Programm „Verzeichnisdienste“ können Sie eine strengere Sicherheitsrichtlinie für eine LDAPv3-Verbindung konfigurieren als die Sicherheitsrichtlinie des LDAPVerzeichnisses. Lässt die Sicherheitsrichtlinie des LDAP-Verzeichnisses beispielsweise unverschlüsselte Kennwörter zu, können Sie für eine LDAPv3-Verbindung festlegen, dass unverschlüsselte Kennwörter nicht zulässig sind. Durch das Festlegen einer strengeren Sicherheitsrichtlinie können Sie Ihren Computer vor unbefugten Zugriffen durch Hacker schützen, die versuchen, über einen illegalen LDAP-Server die Steuerung Ihres Computers zu übernehmen. Der Computer muss mit dem LDAP-Server kommunizieren, um den Status der Sicherheitsoptionen anzuzeigen. Wenn Sie die Sicherheitsoptionen für eine LDAPv3-Verbindung ändern, sollte daher der Suchpfad des Computers für die Identifizierung auch die LDAPv3-Verbindung enthalten. Die zulässigen Einstellungen der Sicherheitsoptionen einer LDAPv3-Verbindung unterliegen den Sicherheitsfunktionen und -anforderungen des LDAP-Servers. Unterstützt der LDAP-Server beispielsweise die Kerberos-Identifizierung nicht, sind mehrere Sicherheitsoptionen von LDAPv3-Verbindungen deaktiviert. Gehen Sie wie folgt vor, um die Sicherheitsoptionen einer LDAPv3-Verbindung zu ändern: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Suchpfad“. 2 Klicken Sie auf „Identifizierung“ und vergewissern Sie sich, dass das gewünschte LDAPv3-Verzeichnis im Suchpfad aufgeführt ist. Weitere Informationen zum Hinzufügen des LDAPv3-Verzeichnisses zum Suchpfad für Identifizierungen finden Sie im Abschnitt „Definieren von eigenen Suchpfaden“ auf Seite 151. 3 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 170 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 4 Klicken Sie auf „Dienste“. 5 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 6 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 7 Wählen Sie die Konfiguration für das gewünschte Verzeichnis aus und klicken Sie dann auf „Bearbeiten“. 8 Klicken Sie auf „Sicherheit“ und ändern Sie beliebige der folgenden Einstellungen: Hinweis: Die Sicherheitseinstellungen hier und auf dem entsprechenden LDAP-Server werden festgelegt, wenn die LDAP-Verbindung eingerichtet wird. Wenn die Servereinstellungen geändert werden, werden diese Einstellungen nicht automatisch aktualisiert. Sind beliebige der letzten vier Optionen ausgewählt, aber deaktiviert, sind sie für das LDAP-Verzeichnis erforderlich. Sind beliebige dieser Optionen nicht ausgewählt und deaktiviert, werden sie vom LDAP-Server nicht unterstützt. Weitere Informationen zum Festlegen dieser Optionen für ein LDAP-Verzeichnis von Mac OS X Server finden Sie im Abschnitt „Festlegen einer Sicherheitsrichtlinie für einen Open Directory-Server“ auf Seite 218. Â Beim Verbindungsaufbau identifizieren: Bestimmt, ob sich die LDAPv3-Verbindung durch Angabe des festgelegten Namens und Kennworts selbst beim LDAP-Verzeichnis identifiziert. Diese Option ist nicht verfügbar, wenn die LDAPv3-Verbindung eine vertrauenswürdige Bindung zum LDAP-Verzeichnis nutzt. Â In das Verzeichnis eingebunden als: Gibt die Anmeldedaten an, die die LDAPv3Verbindung für eine vertrauenswürdige Bindung zum LDAP-Verzeichnis nutzt. Diese Option und die Zertifikate können hier nicht geändert werden. Sie können jedoch die Bindung trennen und dann mit anderen Zertifikaten erneut herstellen. Weitere Informationen hierzu finden Sie in den Abschnitten „Stoppen der vertrauenswürdigen Bindung zu einem LDAP-Verzeichnis“ auf Seite 177 und „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175. Diese Option ist nur verfügbar, wenn die LDAPv3-Verbindung eine vertrauenswürdige Bindung verwendet. Â Kennwörter im Klartext deaktivieren: Bestimmt, ob das Kennwort unverschlüsselt gesendet werden soll, wenn es nicht mit einer Identifizierungsmethode überprüft werden kann, die ein unverschlüsseltes Kennwort sendet. Weitere Informationen hierzu finden Sie in den Abschnitten „Auswählen von Identifizierungsmethoden für Benutzer von „Shadow“-Kennwörtern“ auf Seite 130 und „Auswählen von Identifizierungsmethoden für Open Directory-Kennwörter“ auf Seite 131. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 171 Â Alle Pakete digital signieren (Kerberos erforderlich): Stellt sicher, dass die Verzeichnisdaten vom LDAP-Server nicht von einem anderen Computer abgefangen und geändert wurden, während sie an Ihren Computer gesendet wurden. Â Alle Pakete verschlüsseln (SSL oder Kerberos erforderlich): Sorgt dafür, dass der LDAP-Server Verzeichnisdaten mithilfe von SSL oder Kerberos verschlüsselt, bevor er sie an Ihren Computer sendet. Erkundigen Sie sich vor der Auswahl des Markierungsfelds „Alle Pakete verschlüsseln (SSL oder Kerberos erforderlich)“ bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist. Â Man-in-the-Middle Angriffe blockieren (Kerberos erforderlich) Bietet Schutz vor einem illegalen Server, der sich als LDAP-Server ausgibt. Diese Option sollte für optimale Ergebnisse gemeinsam mit der Option „Alle Pakete digital signieren“ verwendet werden. Konfigurieren von LDAP-Suchen und -Zuordnungen Mit dem Programm „Verzeichnisdienste“ können Sie die Zuordnungen, Suchbeginne und Suchbereiche bearbeiten, die angeben, wie Mac OS X bestimmte Datenobjekte in einem LDAP-Verzeichnis findet. Sie können diese Einstellungen für jede LDAP-Verzeichniskonfiguration im Programm „Verzeichnisdienste“ separat bearbeiten. Jede LDAP-Verzeichniskonfiguration gibt an, auf welche Weise Mac OS X auf Daten in einem LDAPv3oder LDAPv2-Verzeichnis zugreift. Sie können Folgendes bearbeiten: Â Die Zuordnung jedes Mac OS X-Datensatztyps zu einer oder mehreren LDAPObjektklassen Â Die Zuordnung von Mac OS X-Datentypen oder Attributen zu LDAP-Attributen für jeden Datensatztyp Â Der LDAP-Suchbeginn und Suchbereich, der bestimmt, wo Mac OS X nach einem Mac OS X-Datensatztyp in einem LDAP-Verzeichnis sucht Beim Zuordnen von Mac OS X-Benutzerattributen zu einer les-/schreibbaren LDAPVerzeichnis-Domain (die nicht schreibgeschützt ist) darf das zu „RealName“ zugeordnete LDAP-Attribut nicht identisch sein mit dem ersten Attribut in einer Liste von LDAP-Attributen, die „RecordName“ zugeordnet ist. Zum Beispiel darf das Attribut „cn“ nicht das erste zu „RecordName“ zugeordnete Attribut sein, wenn „cn“ auch „RealName“ zugeordnet ist. Entspricht das „RealName“ zugeordnete LDAP-Attribut dem ersten Attribut, das „RecordName“ zugeordnet ist, treten beim Bearbeiten des vollständigen Namens (Langname) oder des ersten Kurznamens im Arbeitsgruppenmanager Probleme auf. Weitere Informationen zu Mac OS X-Datensatztypen und -attributen finden Sie im Anhang „Mac OS X-Verzeichnisdaten“ 172 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Gehen Sie wie folgt vor, um die Suchbeginne und Zuordnungen für einen LDAPServer zu bearbeiten: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Klicken Sie auf „Dienste“. 4 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 5 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 6 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“. 7 Klicken Sie auf „Suche & Pfade“. 8 Wählen Sie die Zuordnungen aus, die Sie als Ausgangspunkt verwenden möchten. Andernfalls wählen Sie „Eigene“, um ohne vordefinierte Zuordnungen zu beginnen. Wenn Sie eine der LDAP-Zuordnungsvorlagen auswählen, wird ein Suchbeginn-Suffix angezeigt, das sich ändern lässt. Sie können auch das standardmäßige SuchbeginnSuffix übernehmen, indem Sie auf „OK“ klicken. Klicken Sie auf das Einblendmenü „Zugriff auf diesen LDAPv3-Server über“ und wählen Sie eine Zuordnungsvorlage aus, deren Zuordnungen als Ausgangspunkt verwendet werden soll. 9 Fügen Sie Datensatztypen hinzu und ändern Sie deren Suchbeginn wie erforderlich: Â Wenn Sie Datensatztypen hinzufügen möchten, klicken Sie auf „Hinzufügen“ (unter der Liste der Datensatztypen und -attribute). Wählen Sie im daraufhin angezeigten Fenster „Datensatztypen“ aus, wählen Sie einen oder mehrere Datensatztypen in der Liste aus und klicken Sie dann auf „OK“. Â Wenn Sie den Suchbeginn und Suchbereich eines Datensatztyps ändern möchten, wählen Sie ihn in der Liste der Datensatztypen und -attribute aus. Bearbeiten Sie anschließend das Feld „Suchbeginn“. Wählen Sie „In allen Zweigen“ aus, damit der Suchbereich die Hierarchie des LDAP-Verzeichnisses vom Suchbeginn nach unten umfasst. Wählen Sie „Nur in erster Ebene“ aus, damit nur der Suchbeginn und eine Ebene darunter in der Hierarchie des LDAP-Verzeichnisses durchsucht wird. Â Zum Entfernen eines Datensatztyps wählen Sie in der Liste der Datensatztypen und -attribute den jeweiligen Typ aus und klicken Sie auf „Löschen“. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 173 Â Zum Hinzufügen einer Zuordnung für einen Datensatztyp wählen Sie den Datensatztyp aus der Liste der Datensatztypen und -attribute aus und klicken dann auf „Hinzufügen“ (unter „Umleiten auf __ Objekte in der Liste“). Geben Sie nun den Namen einer Objektklasse aus dem LDAP-Verzeichnis ein. Zum Hinzufügen einer weiteren LDAPObjektklasse drücken Sie den Zeilenschalter und geben Sie den Namen der Objektklasse ein. Legen Sie fest, ob alle oder eine beliebige Auswahl der aufgeführten LDAPObjektklassen verwendet werden soll, indem Sie die entsprechend Einstellung aus dem Einblendmenü über der Liste auswählen. Â Zum Ändern der Zuordnung für einen Datensatztyp wählen Sie den Datensatztyp in der Liste der Datensatztypen und -attribute aus. Anschließend wählen Sie die zu ändernde LDAP-Objektklasse aus dem Einblendmenü „Umleiten auf __ beliebige Objekte in der Liste“ durch Doppelklicken aus und bearbeiten sie. Geben Sie mithilfe des Einblendmenüs über der Liste an, ob alle oder nur einige der aufgeführten LDAP-Objektklassen verwendet werden sollen. Â Zum Entfernen einer Zuordnung für einen Datensatztyp wählen Sie den Datensatztyp in der Liste der Datensatztypen und -attribute aus. Anschließend wählen Sie die zu entfernende LDAP-Objektklasse aus dem Einblendmenü „Umleiten auf __ Objekte in der Liste“ aus und klicken auf „Löschen“ (unter diesem Einblendmenü). 10 Fügen Sie Attribute hinzu und ändern Sie deren Zuordnungen wie erforderlich: Â Zum Hinzufügen von Attributen zu Datensatztypen wählen Sie den Datensatztyp in der Liste der Datensatztypen und -attribute aus und klicken Sie auf „Hinzufügen“ (unter dieser Liste). Wählen Sie im daraufhin angezeigten Fenster „Datensatztypen“ einen oder mehrere Attributtypen aus und klicken Sie auf „OK“. Â Zum Hinzufügen einer Zuordnung für ein Attribut wählen Sie das Attribut in der Liste der Datensatztypen und -attribute aus, klicken auf „Hinzufügen“ (unter „Umleiten auf __ Objekte in der Liste“) und geben Sie den Namen eines Attributs aus dem LDAP-Verzeichnis ein. Zum Hinzufügen eines weiteren LDAP-Attributs drücken Sie den Zeilenschalter und geben den Namen des Attributs ein. Â Zum Ändern der Zuordnung für ein Attribut wählen Sie das Attribut in der Liste der Datensatztypen und -attribute aus. Anschließend wählen Sie das zu ändernde Objekt aus dem Einblendmenü „Umleiten auf __ beliebige Objekte in der Liste“ durch Doppelklicken aus und bearbeiten den Namen des Objekts. Â Zum Entfernen einer Zuordnung für ein Attribut wählen Sie das Attribut in der Liste der Datensatztypen und -attribute aus. Anschließend wählen Sie das zu entfernende Objekt aus dem Einblendmenü „Umleiten auf __ Objekte in der Liste“ aus und klicken auf „Löschen“ (unter diesem Einblendmenü). Â Zum Ändern der Reihenfolge von Attributen in der Liste auf der rechten Seite bewegen Sie die Attribute in der Liste nach oben oder unten. 174 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 11 Zum Sichern Ihrer Zuordnungen als eine Vorlage klicken Sie auf „Vorlage sichern“. Am Standardspeicherort gesicherte Vorlagen werden in Einblendmenüs von LDAPZuordnungsvorlagen aufgelistet, wenn Sie das Programm „Verzeichnisdienste“ das nächste Mal öffnen. Der Standardspeicherort für gesicherte Vorlagen befindet sich an folgendem Pfad in Ihrem Benutzerordner: ~/Library/Application Support/Directory Utility/LDAPv3/Templates 12 Möchten Sie die Zuordnungen so im LDAP-Verzeichnis speichern, dass das Verzeichnis sie automatisch Clients zur Verfügung stellen kann, klicken Sie auf „Auf Server schreiben“. Geben Sie einen Suchbeginn zum Speichern der Zuordnungen ein, einen Namen eines Administrators oder anderen Benutzers mit Schreibzugriff für den Suchbeginn (z. B. uid=diradmin,cn=users,dc=ods,dc=example,dc=com) sowie ein Kennwort. Wenn Sie Zuordnungen auf einen Open Directory-LDAP-Server schreiben, lautet der richtige Suchbeginn „cn=config, Suffix“ (dabei steht Suffix für das Suchbeginn-Suffix des Servers, wie z. B. „dc=ods,dc=example,dc=com“). Das LDAP-Verzeichnis stellt seine Zuordnungen Mac OS X Clients zur Verfügung, deren eigene Suchpfade eine Verbindung umfassen, die für das Abrufen von Zuordnungen vom LDAP-Server konfiguriert wurde. Das LDAP-Verzeichnis stellt seine Zuordnungen auch allen Mac OS X Clients zur Verfügung, die über einen automatischen Suchpfad verfügen. Weitere Informationen finden Sie in den Abschnitten „Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 158 und „Verwenden von erweiterten Einstellungen für Suchpfade“ auf Seite 149. Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis Mit dem Programm „Verzeichnisdienste“ können Sie eine vertrauenswürdige Bindung zwischen dem Computer und einem LDAP-Verzeichnis mit Unterstützung für vertrauenswürdige Bindungen einrichten. Die Bindung wird durch einen identifizierten Computereintrag, der beim Einrichten der vertrauenswürdigen Bindung im Verzeichnis erstellt wird, beidseitig authentifiziert. Der Computer lässt sich nicht so konfigurieren, dass er eine vertrauenswürdige LDAPBindung und ein von DHCP bereitgestelltes LDAP-Verzeichnis verwendet. Eine vertrauenswürdige Bindung ist immer statisch, ein von DHCP bereitgestelltes LDAP-Verzeichnis ist dagegen dynamisch. Weitere Informationen hierzu finden Sie in den Abschnitten „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses“ auf Seite 156 und „Festlegen einer Bindungsrichtlinie für einen Open Directory-Server“ auf Seite 217. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 175 Gehen Sie wie folgt vor, um eine vertrauenswürdige Bindung an ein LDAP-Verzeichnis einzurichten: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie die gewünschte Serverkonfiguration aus und klicken Sie auf „Bearbeiten“. 6 Klicken Sie auf „Einbinden“, geben Sie die folgenden Anmeldedaten ein und klicken Sie dann auf „OK“. Geben Sie den Namen des Computers sowie den Namen und das Kennwort eines Administrators der LDAP-Verzeichnis-Domain ein. Der Computername darf nicht von einem anderen Computer für vertrauenswürdige Bindungen oder andere Netzwerkdienste verwendet werden. Wird die Taste „Einbinden“ nicht angezeigt, unterstützt das LDAP-Verzeichnis keine vertrauenswürdige Bindung. 7 Überprüfen Sie, dass Sie den richtigen Computernamen angegeben haben. Wenn eine Meldung mit dem Hinweis angezeigt wird, dass ein Computereintrag vorhanden ist, klicken Sie auf „Abbrechen“, um einen Schritt zurückzugehen und den Computernamen zu ändern. Sie können auch auf „Überschreiben“ klicken, um den vorhandenen Computereintrag zu ersetzen. Der vorhandene Computereintrag wird eventuell nicht mehr genutzt oder gehört zu einem anderen Computer. Wenn Sie einen vorhandenen Computereintrag ersetzen, informieren Sie den Administrator des LDAP-Verzeichnisses darüber, falls durch das Ersetzen des Eintrags ein anderer Computer deaktiviert wird. In einer solchen Situation muss der LDAP-Verzeichnis-Administrator dem deaktivierten Computer einen anderen Namen zuweisen und ihn unter Verwendung eines anderen Namens zur Computergruppe hinzufügen, der er angehörte. Weitere Informationen zum Hinzufügen eines Computers zu einer Computergruppe finden Sie im Kapitel zu Computergruppen im Handbuch Benutzerverwaltung. 8 Klicken Sie auf „OK“, um die Konfiguration der vertrauenswürdigen Bindung abzuschließen. 176 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Stoppen der vertrauenswürdigen Bindung zu einem LDAP-Verzeichnis Mit dem Programm „Verzeichnisdienste“ können Sie die vertrauenswürdige Bindung zwischen einem Computer und einem LDAP-Verzeichnis stoppen, das vertrauenswürdige Bindungen zulässt, aber nicht benötigt. Gehen Sie wie folgt vor, um die vertrauenswürdige Bindung zu einem LDAPVerzeichnis zu trennen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, klicken Sie darauf und geben Sie Name und Kennwort eines Administrators ein. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie die gewünschte Serverkonfiguration aus und klicken Sie auf „Bearbeiten“. 6 Klicken Sie auf „Trennen“, geben Sie die folgenden Anmeldedaten ein und klicken Sie dann auf „OK“. Geben Sie den Namen und das Kennwort eines Administrators des LDAP-Verzeichnisses an (nicht die eines lokalen Administrators des Computers). Wurde auf diesem Computer keine vertrauenswürdige Bindung eingerichtet, wird die Taste „Trennen“ nicht angezeigt. Wird eine Warnmeldung mit dem Hinweis angezeigt, dass der Computer nicht mit dem LDAP-Server kommunizieren kann, klicken Sie auf „OK“, wenn Sie die vertrauenswürdige Bindung sofort trennen möchten. Wenn Sie die vertrauenswürdige Bindung sofort trennen, bleibt der Computereintrag des Computers im LDAP-Verzeichnis erhalten. Informieren Sie den LDAP-Verzeichnisadministrator, damit dieser den Computer aus der Computergruppe entfernt. Weitere Informationen zum Entfernen eines Computers aus dieser Computergruppe finden Sie im Kapitel zu Computergruppen im Handbuch Benutzerverwaltung. 7 Klicken Sie auf „OK“, um das Trennen der vertrauenswürdigen Bindung abzuschließen. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 177 Ändern des Zeitlimits für Öffnen & Schließen einer LDAP-Verbindung Mit dem Programm „Verzeichnisdienste“ können Sie festlegen, wie lange das Programm wartet, bevor es einen Verbindungsversuch zum LDAP-Server abbricht. Gehen Sie wie folgt vor, um das Zeitlimit für Öffnen und Schließen einer LDAPVerbindung zu ändern: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“. 6 Klicken Sie auf „Verbindung“ und geben Sie dann einen Wert für „Zeitlimit für Öffnen/ Schließen“ ein. Der Standardwert beträgt 15 Sekunden. Ändern des Zeitlimits für Abfragen einer LDAP-Verbindung Mit dem Programm „Verzeichnisdienste“ können Sie festlegen, wie lange das Programm wartet, bevor es eine an das LDAP-Verzeichnis gesendete Abfrage abbricht. Gehen Sie wie folgt vor, um das Zeitlimit für Abfragen einer LDAP-Verbindung festzulegen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“. 6 Klicken Sie auf „Verbindung“ und geben Sie dann einen Wert für „Zeitlimit für Abfrage“ ein. Der Standardwert beträgt 120 Sekunden. 178 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Ändern der Verzögerungszeit für erneute Versuche einer LDAP-Verbindung Mit dem Programm „Verzeichnisdienste“ können Sie festlegen, wie lange vor einem erneuten Verbindungsversuch gewartet wird, wenn ein LDAP-Server nicht reagiert. Sie können diesen Wert erhöhen, um kontinuierliche Verbindungsversuche zu verhindern. Gehen Sie wie folgt vor, um die Verzögerung für erneute Verbindungsversuche mit inaktiven LDAP-Clients festzulegen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“. 6 Klicken Sie auf „Verbindung“ und geben Sie einen Wert für „Erneuter Verbindungsversuch nach __ Sekunden“ ein. Der Standardwert beträgt 120 Sekunden. Ändern des Zeitlimits für eine inaktive LDAP-Verbindung Mit dem Programm „Verzeichnisdienste“ können Sie festlegen, wie lange eine LDAPVerbindung inaktiv bleiben kann, bis das Programm die Verbindung trennt. Sie können diese Einstellung anpassen, um die Anzahl der geöffneten Verbindungen auf dem LDAP-Server zu verringern. Gehen Sie wie folgt vor, um das Zeitlimit für eine inaktive LDAP-Verbindung festzulegen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“. 6 Klicken Sie auf „Verbindung“ und geben Sie einen Wert für „Zeitlimit für Verbindung“ ein. Der Standardwert beträgt 1 Minute. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 179 Erzwingen von schreibgeschütztem LDAPv2-Zugriff Mit dem Programm „Verzeichnisdienste“ können Sie mithilfe von LDAPv2 eine Verbindung zu einem LDAP-Server erzwingen. Diese erzwungene LDAPv2-Verbindung ist schreibgeschützt und verwendet kein SSL. Gehen Sie wie folgt vor, um einen schreibgeschützten LDAPv2-Zugang zu einem LDAP-Server zu erzwingen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie in der Liste die Serverkonfiguration aus und klicken Sie auf „Bearbeiten“. 6 Klicken Sie auf „Verbindung“ und wählen Sie dann „LDAPv2 verwenden (schreibgeschützt)“. Ignorieren von LDAP-Server-Verweisen Mit dem Programm „Verzeichnisdienste“ können Sie festlegen, ob der Computer den Verweis eines LDAP-Servers ignoriert oder befolgt, um auf anderen LDAP-Servern oder -Repliken nach Informationen zu suchen. Serververweise können einen Computer bei der Suche nach Informationen unterstützen, können aber auch die Anmeldung verzögern oder andere Verzögerungen verursachen, wenn der Computer Verweise auf andere LDAP-Server überprüfen muss. Gehen Sie wie folgt vor, um festzulegen, ob Verweise eines LDAP-Servers ignoriert werden sollen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“. 6 Klicken Sie auf „Verbinden“ und wählen Sie „Verweise des Servers ignorieren“. 180 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Identifizieren einer LDAP-Verbindung Mit dem Programm „Verzeichnisdienste“ können Sie eine identifizierte Verbindung zu einem LDAP-Verzeichnis einrichten. Diese Identifizierung erfolgt einseitig. Der Computer identifiziert sich bei einem LDAP-Verzeichnis, das LDAP-Verzeichnis identifiziert sich jedoch nicht beim Computer. Informationen über die beidseitige Identifizierung finden Sie im Abschnitt „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175. Hinweis: Besteht zwischen dem Computer und dem LDAP-Verzeichnis eine vertrauenswürdige Bindung, wäre eine identifizierte Verbindung überflüssig und kann aus diesem Grund nicht hergestellt werden. Gehen Sie wie folgt vor, um eine identifizierte LDAPv3-Verbindung einzurichten: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“. 6 Klicken Sie auf „Sicherheit“. 7 Wählen Sie „Beim Verbindungsaufbau identifizieren“ und geben Sie dann den Namen (Distinguished Name) und das Kennwort eines Benutzers ein. Der Name kann jeden Benutzer-Account mit Berechtigung zum Anzeigen von Daten im Verzeichnis festlegen. Ein Benutzer-Account, dessen Kurzname auf einem LDAP-Server mit der Adresse „ods.example.com“ beispielsweise „authenticator“ lautet, hat folgenden Namen: uid=authenticator,cn=users,dc=ods,dc=example,dc=com. Wichtig: Sind Name oder Kennwort falsch, kann sich niemand über Benutzer-Accounts aus dem LDAP-Verzeichnis beim Computer anmelden. Ändern des Kennworts für die Identifizierung einer LDAP-Verbindung Mit dem Programm „Verzeichnisdienste“ können Sie eine identifizierte LDAP-Verbindung aktualisieren, sodass diese ein Kennwort verwendet, das auf dem LDAP-Server geändert wurde. (Alle Computer mit identifizierten Verbindungen zu einem LDAP-Server müssen aktualisiert werden, wenn das zum Identifizieren der LDAP-Verbindung verwendete Kennwort auf dem Server geändert wird.) Kapitel 8 Erweiterte Einstellungen für Directory-Clients 181 Gehen Sie wie folgt vor, um das Kennwort für eine LDAP-Verbindung zu ändern: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“. 6 Klicken Sie auf „Sicherheit“ und ändern Sie die Einstellung „Kennwort“: Â Wenn die Einstellung „Kennwort“ grau dargestellt wird, da die Option „Beim Verbindungsaufbau identifizieren“ nicht ausgewählt ist, lesen Sie die Informationen unter „Identifizieren einer LDAP-Verbindung“ auf Seite 181. Â Wenn die Einstellung „Kennwort“ grau dargestellt wird, da „In das Verzeichnis eingebunden als“ ausgewählt (aber grau dargestellt) ist, ist die Verbindung nicht mit einem Benutzerkennwort identifiziert. Stattdessen verwendet die Verbindung einen identifizierten Computereintrag für die vertrauenswürdige Bindung. Zuordnen von „Config“-Datensatzattributen für LDAP-Verzeichnisse Wenn Sie Informationen für verwaltete Mac OS X-Benutzer in einem Nicht-Apple-LDAPVerzeichnis speichern möchten, müssen Sie die folgenden Attribute von Config-Datensatztypen zuweisen: „RealName“ und „DataStamp“. Weisen Sie diese Attribute nicht zu, wird die folgende Fehlermeldung angezeigt, wenn Sie mit dem Arbeitsgruppenmanager einen Benutzereintrag ändern, der sich im LDAPVerzeichnis befindet: Das Attribut „dsRecTypeStandard:Config“ hat keine Zuordnung. Sie können diese Meldung ignorieren, wenn Sie die Mac OS X Client-Verwaltung nicht verwenden, die von den Attributen „RealName“ und „DataStamp“ des Datensatztyps „Config“ für einen Cache abhängig ist. Bearbeiten der RFC 2307-Zuordnung zum Aktivieren der Benutzererstellung Damit Sie mit dem Programm „Arbeitsgruppenmanager“ Benutzer auf einem nicht von Apple stammenden Verzeichnis-Server erstellen können, der RFC 2307-Zuordnungen (UNIX) verwendet, müssen Sie die Zuordnung des Datensatztyps „Users“ bearbeiten. Hierzu verwenden Sie das Programm „Verzeichnisdienste“. 182 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Gehen Sie wie folgt vor, um die Erstellung von Benutzereinträgen in einem LDAPVerzeichnis mit RFC 2307-Zuordnungen zu aktivieren: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“. 5 Wählen Sie die Verzeichniskonfiguration mit RFC 2307-Zuordnungen aus. Klicken Sie dann auf „Bearbeiten“. 6 Klicken Sie auf „Suche & Pfade“. 7 Wählen Sie in der Liste auf der linken Seite „Users“ aus. Für „Umleiten auf __ Objekte in der Liste“ ist standardmäßig „beliebige“ ausgewählt und die Liste auf der rechten Seite enthält die Einträge „posixAccount“, „inetOrgPerson“ und „shadowAccount“. 8 Wählen Sie für „Umleiten auf __ Objekte in der Liste“ die Einstellung „alle“ aus und ändern Sie dann die Liste auf der rechten Seite so, dass dort die Reihe der LDAP-Objektklassen aufgeführt wird, denen der Datensatztyp „Users“ zugeordnet werden soll. Sie könnten beispielsweise „shadowAccount“ aus der Liste löschen, sodass „Users“ nur „posixAccount“ und „inetOrgPerson“ zugeordnet wird. Alternativ könnten Sie „Users“ den Einträgen „account“, „posixAccount“ und „shadowAccount“ zuordnen. Wählen Sie ein Objekt in der Liste durch Doppelklicken aus, um es zu ändern. Klicken Sie auf „Hinzufügen“, um ein Objekt zur Liste hinzuzufügen. Klicken Sie auf „Löschen“, um das ausgewählte Objekt aus der Liste zu löschen. Bewegen Sie Objekte in der Liste nach oben oder unten, um die Reihenfolge aufgelisteter Objekte zu ändern. Sie können die Objektklassen von Benutzereinträgen im LDAP-Verzeichnis ermitteln, indem Sie den UNIX-Befehl ldapsearch im Programm „Terminal“ verwenden. Der folgende Code findet beispielsweise Objektklassen für einen Benutzereintrag, dessen cn-Attribut „Leonardo da Vinci:“ lautet: $ ldapsearch -x -h ldapserver.example.com -b "dc=example, dc=com" 'cn=Leonardo da Vinci' objectClass Die für dieses Beispiel angezeigte Ausgabe lautete wie folgt: # Leonardo da Vinci, example.com dn: cn=Leonardo da Vinci, dc=example, dc=com objectClass: inetOrgPerson objectClass: posixAccount Kapitel 8 Erweiterte Einstellungen für Directory-Clients 183 Vorbereiten eines schreibgeschützten LDAP-Verzeichnisses für Mac OS X Wenn ein Mac OS X-Computer administrative Daten von einem schreibgeschützten LDAP-Verzeichnis erhalten soll, müssen die Daten in dem von Mac OS X benötigten Format vorliegen. Sie müssen u. U. Daten im schreibgeschützten LDAP-Verzeichnis hinzufügen, ändern oder neu anordnen. Da Mac OS X keine Daten in ein schreibgeschütztes Verzeichnis schreiben kann, müssen Sie die Änderungen mit anderen Werkzeugen vornehmen. Die verwendeten Werkzeuge müssen sich auf dem Server befinden, der das schreibgeschützte LDAP-Verzeichnis bereitstellt. Gehen Sie wie folgt vor, um ein schreibgeschütztes LDAP-Verzeichnis für Mac OS X vorzubereiten: 1 Begeben Sie sich zu dem Server, der Host des schreibgeschützten LDAP-Verzeichnisses ist. Konfigurieren Sie den Server so, dass er die LDAP-basierte Identifizierung und Kennwortüberprüfung unterstützt. 2 Ändern Sie die Objektklassen und Attribute des LDAP-Verzeichnisses wie erforderlich, um die von Mac OS X benötigten Daten bereitzustellen. Nähere Angaben zu den von Mac OS X-Verzeichnisdiensten benötigten Daten finden Sie im Anhang „Mac OS X-Verzeichnisdaten“. Füllen von LDAP-Verzeichnissen mit Daten für Mac OS X Nachdem Sie den Zugriff auf LDAP-Verzeichnis-Domains konfiguriert und die Datenzuordnung konfiguriert haben, können Sie die LDAP-Verzeichnisse mit Datensätzen und Daten für Mac OS X füllen. Für LDAP-Verzeichnisse, die die Fernverwaltung (Lese-/ Schreibzugriff ) zulassen, können Sie das mit Mac OS X Server gelieferte Programm „Arbeitsgruppenmanager“ wie folgt verwenden: Â Identifizieren Sie Netzwerkordner und gemeinsam genutzte Domains, die automatisch für Benutzer aktiviert werden sollen (diese werden den Benutzern angezeigt, wenn Sie in der Seitenleiste eines Finder Fensters unter „Freigeben“ auf „Alle“ klicken). Verwenden Sie die Taste „File-Sharing“ im Programm „Server-Admin“ und „Einstellungen“ > „Netzwerk“ im Programm „Arbeitsgruppenmanager“. Weitere Informationen hierzu finden Sie im Handbuch Dateidienste – Administration. Â Definieren Sie Benutzer- und Gruppeneinträge und konfigurieren Sie die entsprechenden Einstellungen. Verwenden Sie dazu die Taste „Accounts“ im Arbeitsgruppenmanager. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung. Â Definieren Sie Listen mit Computern, für die dieselben Einstellungen gelten und die denselben Benutzern und Gruppen zur Verfügung stehen sollen. Verwenden Sie dazu die Taste „Computer“ im Arbeitsgruppenmanager. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung. 184 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Klicken Sie in allen Fällen auf das kleine Kugelsymbol über der Benutzerliste und wählen Sie die gewünschte Option aus dem Einblendmenü im Arbeitsgruppenmanager aus, um die LDAP-Verzeichnis-Domain zu öffnen. Wenn das LDAP-Verzeichnis nicht im Einblendmenü aufgeführt ist, wählen Sie „Anderer“ aus diesem Menü, um das LDAPVerzeichnis auszuwählen. Hinweis: Damit Sie Einträge und Daten zu einem schreibgeschützten LDAP-Verzeichnis hinzufügen können, müssen Sie die Werkzeuge auf dem Server verwenden, der das LDAP-Verzeichnis bereitstellt. Verwenden erweiterter Einstellungen des Active Directory-Diensts Sie können einen Server mit Mac OS X Server oder einen Computer mit Mac OS X zum Zugriff auf eine Active Directory-Domain auf einem Windows 2000 oder Windows 2003 Server konfigurieren. Aufgabenbeschreibungen und Anleitungen finden Sie an folgenden Stellen: Â Â Â Â Â Â Â Â Â Â Â Â „Zugriff auf Active Directory“ auf Seite 186 „Konfigurieren des Zugriffs auf eine Active Directory-Domain“ auf Seite 188 „Einrichten mobiler Benutzer-Accounts in Active Directory“ auf Seite 191 „Einrichten von Benutzerordnern für Active Directory-Benutzer-Accounts“ auf Seite 192 „Einrichten einer UNIX Shell für Active Directory-Benutzer-Accounts“ auf Seite 193 „Zuordnen der Benutzerkennung (UID) zu einem Active Directory-Attribut“ auf Seite 194 „Zuordnen der Primärgruppen-ID zu einem Active Directory-Attribut“ auf Seite 195 „Zuordnen der Gruppen-ID in Gruppen-Accounts zu einem Active Directory-Attribut“ auf Seite 196 „Angeben eines bevorzugten Active Directory-Servers“ auf Seite 197 „Ändern der Active Directory-Gruppen, die den Computer verwalten können“ auf Seite 197 „Steuern der Identifizierung von allen Domains in einer Active Directory-Gesamtstruktur“ auf Seite 198 „Lösen der Bindung zum Active Directory-Server“ auf Seite 199 Â „Bearbeiten von Benutzer-Accounts und anderen Datensätzen in Active Directory“ auf Seite 200 Für einige Netzwerke gibt es alternative Methoden, um auf eine Active Directory-Domain zuzugreifen. Weitere Informationen finden Sie im Abschnitt „Konfigurieren des LDAPZugriffs auf Active Directory-Domains“ auf Seite 200. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 185 Zugriff auf Active Directory Sie können Mac OS X für den Zugriff auf grundlegende Benutzer-Account-Informationen in einer Active Directory-Domain eines Windows 2000-Servers oder neuer konfigurieren. Möglich wird dies durch ein Active Directory-Plug-In für das Programm „Verzeichnisdienste“. Dieses Active Directory-Plug-In wird im Bereich „Dienste“ des Programms „Verzeichnisdienste“ aufgeführt. Sie müssen keine Schemaänderungen an der Active Directory-Domain vornehmen, um grundlegende Benutzer-Account-Informationen abzurufen. Möglicherweise ändern Sie die Standard-ACL (Zugriffssteuerungsliste) bestimmter Attribute, sodass ComputerAccounts die Benutzereigenschaften lesen können. Das Active Directory-Plug-In generiert alle benötigten Attribute für die Mac OS X-Identifizierung aus Standardattributen in Active Directory-Benutzer-Accounts. Das Plug-In unterstützt auch Active Directory-Identifizierungsrichtlinien, u. a. Kennwortänderungen, Ablaufintervalle, erzwungene Änderungen und Sicherheitsoptionen. Mac OS X 10.5 unterstützt Optionen für die Paketverschlüsselung und Paketsignierung für alle Windows Active Directory-Domains. Diese Funktionalität ist standardmäßig zugelassen. Sie können die Standardeinstellung in „deaktiviert“ oder „erforderlich“ ändern, indem Sie das Befehlszeilenprogramm dsconfigad verwenden. Die Optionen für Paketverschlüsselung und Paketsignierung sorgen dafür, dass alle Daten, die für Suchvorgänge in Datensätzen mit der Active Directory-Domain ausgetauscht werden, geschützt sind. Das Active Directory-Plug-In generiert eine eindeutige Benutzer-ID und eine Primärgruppen-ID auf Basis der GUID (Globally Unique ID) in der Active Directory-Domain. Die generierte Benutzer-ID und Primärgruppen-ID sind für jeden Benutzer-Account identisch. Dies gilt auch, wenn der Account für die Anmeldung bei verschiedenen Mac OS X-Computern verwendet wird. Alternativ können Sie das Active Directory-Plug-In veranlassen, die Benutzer-ID zu von Ihnen angegebenen Active Directory-Attributen zuzuordnen. Das Active Directory-Plug-In generiert eine Gruppen-ID, die auf der Active DirectoryGUID des Gruppen-Accounts basiert. Sie können das Active Directory-Plug-In außerdem veranlassen, die Gruppen-ID für Gruppen-Accounts zu von Ihnen angegebenen Active Directory-Attributen zuzuordnen. 186 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Meldet sich ein Benutzer mit einem Active Directory-Benutzer-Account bei Mac OS X an, kann das Active Directory-Plug-In den im Active Directory-Benutzer-Account angegebenen Windows-Netzwerk-Benutzerordner als Mac OS X-Benutzerordner des Benutzers aktivieren. Sie können festlegen, ob Sie den Netzwerk-Benutzerordner verwenden möchten, der vom standardmäßigen Attribut „homeDirectory“ von Active Directory oder vom Attribut „homeDirectory“ von Mac OS X angegeben wird (sofern das Active Directory-Schema entsprechend erweitert wurde). Alternativ können Sie das Plug-In so konfigurieren, dass ein lokaler Benutzerordner auf dem Startvolume des Mac OS X Client-Computers angelegt wird. In diesem Fall aktiviert das Plug-In auch den Windows-Netzwerk-Benutzerordner (im Active Directory-BenutzerAccount angegeben) als Netzwerkvolume. Der Benutzer kann dann über den Finder Dateien zwischen dem Windows-Netzwerkvolume und dem lokalen Mac OS X-Benutzerordner kopieren. Das Active Directory-Plug-In kann außerdem mobile Accounts für Benutzer erstellen. Ein mobiler Account verwendet einen lokalen Benutzerordner auf dem Startvolume des Mac OS X Client-Computers. (Der Benutzer besitzt außerdem einen NetzwerkBenutzerordner, der in seinem Active Directory-Account definiert ist.) Ein mobiler Account kann die Zertifikate der Identifizierung auf dem Mac OS X ClientComputer im Cache zwischenspeichern. Die im Cache abgelegten Anmeldedaten erlauben es dem Benutzer, sich mit dem Active Directory-Namen und Kennwort anzumelden, wenn der Client-Computer vom Active Directory-Server getrennt wird. Wurde das Active Directory-Schema für Mac OS X-Datensatztypen (Objektklassen) und Attribute erweitert, erkennt das Active Directory-Plug-In diese und greift darauf zu. Das Active Directory-Schema könnte beispielsweise mit Windows-Verwaltungswerkzeugen geändert werden, sodass auch Attribute verwalteter Mac OS X-Clients enthalten sind. Diese Schemaänderung ermöglicht es dem Active Directory-Plug-In, verwaltete Client-Einstellungen zu unterstützten, die mit dem Programm „Arbeitsgruppenmanager“ von Mac OS X Server festgelegt wurden. Für Mac OS X-Clients ist umfassender Lesezugriff auf die dem Verzeichnis hinzugefügten Attribute erforderlich. Daher ist es ggf. notwendig, die ACL dieser Attribute so zu ändern, dass Computergruppen erlaubt wird, diese hinzugefügten Attribute zu lesen. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 187 Das Active Directory-Plug-In erkennt alle Domains in einer Active Directory-Gesamtverzeichnisstruktur. Sie können das Plug-In so konfigurieren, dass Benutzern von beliebigen Domains in der Struktur die Identifizierung bei einem Mac OS X-Computer erlaubt wird. Alternativ können Sie auch nur die Identifizierung bestimmter Domains auf dem Client erlauben. Das Active Directory-Plug-In unterstützt in vollem Umfang Active Directory-Replikation und Ausfallumschaltung (Failover). Es erkennt mehrere Domain-Controller und ermittelt den nächstgelegenen. Wenn der Domain-Controller nicht mehr verfügbar ist, schaltet das Plug-In auf einen anderen Domain-Controller in der Nähe um. Das Active Directory-Plug-In greift über LDAP auf Active Directory-Benutzer-Accounts zu und identifiziert diese mithilfe von Kerberos. Das Active Directory-Plug-In verwendet nicht das Microsoft-eigene ADSI (Active Directory Services Interface) für Verzeichnisoder Identifizierungsdienste. Konfigurieren des Zugriffs auf eine Active Directory-Domain Mit dem im Programm „Verzeichnisdienste“ aufgelisteten Active Directory-Plug-In können Sie Mac OS X für den Zugriff auf grundlegende Benutzer-Account-Informationen in einer Active Directory-Domain auf einem Windows-Server konfigurieren. Das Active Directory-Plug-In generiert alle benötigten Attribute für die Mac OS X-Identifizierung. Es sind keine Änderungen am Active Directory-Schema erforderlich. Das Active Directory-Plug-In erkennt und greift auf standardmäßige Mac OS X-Datensatztypen und -attribute zu (etwa die für die Verwaltung von Mac OS X-Clients benötigten Attribute), wenn das Active Directory-Schema erweitert wurde und diese Daten enthält. ACHTUNG: Mit den erweiterten Optionen des Active Directory-Plug-Ins können Sie die eindeutige Mac OS X-ID (UID), die primäre Gruppen-ID (GID) und das GID-Attribut den richtigen Attributen zuordnen, die zum Active Directory-Schema hinzugefügt wurden. Wenn Sie die Einstellung dieser Zuordnungsoptionen zu einem späteren Zeitpunkt ändern, verlieren Benutzer u. U. den Zugriff auf zuvor erstellte Dateien. Wichtig: Enthält der Name Ihres Computers einen Bindestrich, können Sie möglicherweise nicht auf eine Verzeichnis-Domain wie LDAP oder Active Directory zugreifen bzw. keine Verbindung dazu herstellen. Verwenden Sie einen Computernamen ohne Bindestrich, um die Verbindung herstellen zu können. 188 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Gehen Sie wie folgt vor, um den Zugriff auf eine Active Directory-Domain zu konfigurieren: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Geben Sie den DNS-Namen der Active Directory-Domain ein, die Sie mit dem zu konfigurierenden Computer verbinden möchten. Den DNS-Namen, den Sie eingeben müssen, können Sie beim Administrator der Active Directory-Domain erfahren. 5 Bearbeiten Sie bei Bedarf die Computer-ID. Bei der Computer-ID handelt es sich um den Namen, der den Computer in der Active Directory-Domain identifiziert. Standardmäßig wird hierfür der Name des Computers verwendet. Möglicherweise empfiehlt es sich, die ID zu ändern, um das etablierte Benennungsschema Ihres Unternehmens für Computer in der Active DirectoryDomain einzuhalten. Bei Unsicherheiten wenden Sie sich an den Administrator der Active Directory-Domain. 6 (Optional) Legen Sie erweiterte Optionen fest. Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“ und legen Sie die Optionen in den Bereichen „Benutzereinstellungen“, „Pfade“ und „Administration“ fest. Einstellungen für erweiterte Optionen lassen sich auch zu einem späteren Zeitpunkt ändern. Weitere Informationen zu erweiterten Optionen finden Sie in den folgenden Abschnitten: Â Â Â Â Â Â Â Â Â „Einrichten mobiler Benutzer-Accounts in Active Directory“ auf Seite 191 „Einrichten von Benutzerordnern für Active Directory-Benutzer-Accounts“ auf Seite 192 „Einrichten einer UNIX Shell für Active Directory-Benutzer-Accounts“ auf Seite 193 „Zuordnen der Benutzerkennung (UID) zu einem Active Directory-Attribut“ auf Seite 194 „Zuordnen der Primärgruppen-ID zu einem Active Directory-Attribut“ auf Seite 195 „Zuordnen der Gruppen-ID in Gruppen-Accounts zu einem Active Directory-Attribut“ auf Seite 196 „Angeben eines bevorzugten Active Directory-Servers“ auf Seite 197 „Ändern der Active Directory-Gruppen, die den Computer verwalten können“ auf Seite 197 „Steuern der Identifizierung von allen Domains in einer Active Directory-Gesamtstruktur“ auf Seite 198 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 189 7 Klicken Sie auf „Einbinden“ und identifizieren Sie sich anhand der nachfolgenden Schritte als ein Benutzer mit Berechtigungen zum Verbinden eines Computers mit der Active Directory-Domain. Wählen Sie dann die Suchpfade aus, zu denen Sie Active Directory hinzufügen möchten (vgl. unten) und klicken Sie auf „OK“. Â Name und Kennwort: Sie können sich möglicherweise identifizieren, indem Sie den Namen und das Kennwort Ihres Active Directory-Benutzer-Accounts eingeben. Andernfalls muss evtl. der Active Directory-Domain-Administrator Name und Kennwort bereitstellen. Â Computer-OU: Geben Sie die Organisationseinheit (OU) für den zu konfigurierenden Computer ein. Â Für Identifizierung verwenden: Verwenden Sie diese Einstellung, um anzugeben, ob Active Directory zum Suchpfad für die Identifizierung des Computers hinzugefügt wird. Â Für Kontakte verwenden: Verwenden Sie diese Einstellung, um anzugeben, ob Active Directory zum Suchpfad für Kontakte des Computers hinzugefügt wird. Wenn Sie auf „OK“ klicken, richtet das Programm „Verzeichnisdienste“ eine vertrauenswürdige Bindung zwischen dem zu konfigurierenden Computer und dem Active Directory-Server ein. Die Suchpfade des Computers werden entsprechend den Optionen festgelegt, die Sie bei der Anmeldung ausgewählt haben. Active Directory wird im Bereich „Dienste“ des Programms „Verzeichnisdienste“ aktiviert. Bei Verwendung der Standardeinstellungen für die erweiterten Active Directory-Optionen wird die Active Directory-Gesamtstruktur zum Suchpfad für die Identifizierung und für Kontakte des Computers hinzugefügt, wenn Sie „Für Identifizierung verwenden“ oder „Für Kontakte verwenden“ ausgewählt haben. Wenn Sie jedoch die Option „Identifizierung aus jeder Domain in der Gesamtstruktur ermöglichen“ im Bereich „Administration“ der erweiterten Optionen deaktivieren, bevor Sie auf „Einbinden“ klicken, wird anstelle der Gesamtstruktur die nächste Active DirectoryDomain hinzugefügt. Sie können Suchpfade zu einem späteren Zeitpunkt ändern, indem Sie die Active Directory-Gesamtstruktur oder einzelne Domains hinzufügen bzw. entfernen. Weitere Informationen hierzu finden Sie im Abschnitt „Definieren von eigenen Suchpfaden“ auf Seite 151. 8 (Optional) Verbinden Sie den Server mit dem Active Directory-Kerberos-Realm. Öffnen Sie auf dem Server oder einem Administratorcomputer, der die Verbindung zum Server herstellen kann, das Programm „Server-Admin“ und wählen Sie „Open Directory“ für den Server aus. Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. Klicken Sie auf „Kerberos-Eintrag hinzufügen“. Wählen Sie dann den Active Directory-Kerberos-Realm aus dem Einblendmenü aus und geben Sie die Zertifikate eines lokalen Administrators auf diesem Server ein. Weitere Informationen hierzu finden Sie im Abschnitt „Hinzufügen eines Servers zu einem Kerberos-Realm“ auf Seite 118. 190 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Einrichten mobiler Benutzer-Accounts in Active Directory Sie können mobile Active Directory-Benutzer-Accounts auf einem Computer aktivieren oder deaktivieren, der für die Verwendung des Active Directory-Plug-Ins des Programms „Verzeichnisdienste“ konfiguriert ist. Benutzer mit mobilen Accounts können sich mit ihren Active Directory-Anmeldedaten anmelden, wenn der Computer nicht mit dem Active Directory-Server verbunden ist. Das Active Directory-Plug-In kann Zertifikate für den mobilen Account eines Benutzers im Cache zwischenspeichern, wenn sich der Benutzer während einer bestehenden Verbindung zwischen dem Computer und der Active Directory-Domain anmeldet. Diese Speicherung von Anmeldedaten im Cache erfordert keine Änderung des Active Directory-Schemas. Wenn das Active Directory-Schema um Attribute verwalteter Mac OS X-Clients erweitert wurde, werden diese Einstellungen der mobilen Accounts anstelle der Einstellung des mobilen Accounts des Active Directory-Plug-Ins verwendet. Sie können mobile Accounts automatisch erstellen lassen oder festlegen, dass Active Directory-Benutzer die Erstellung eines mobilen Accounts bestätigen müssen. Gehen Sie wie folgt vor, um mobile Accounts in einer Active Directory-Domain zu aktivieren oder zu deaktivieren: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“. 5 Klicken Sie auf „Benutzereinstellungen“ und dann auf „Mobilen Account bei Anmeldung erstellen“. Klicken Sie anschließend optional auf „Bestätigung vor Erstellen mobiler Accounts einholen“. 6 Wenn beide Optionen ausgewählt sind, entscheidet jeder Benutzer selbst, ob bei der Anmeldung ein mobiler Account erstellt wird. Wenn sich ein Benutzer mit einem Active Directory-Benutzer-Account bei Mac OS X oder als Netzwerkbenutzer anmeldet, wird sofort ein Dialogfenster mit Steuerelementen zum Erstellen eines mobilen Accounts angezeigt. Ist die erste Option ausgewählt und die zweite nicht, werden bei der Anmeldung von Benutzern mobile Accounts erstellt. Ist die erste Option nicht ausgewählt, ist die zweite Option deaktiviert. Klicken Sie auf „OK“. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 191 Einrichten von Benutzerordnern für Active Directory-Benutzer-Accounts Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung des Active Directory-Plug-Ins konfiguriert ist, können Sie Netzwerk-Benutzerordner oder lokale Benutzerordner für Active Directory-Benutzer-Accounts aktivieren oder deaktivieren. Wenn Netzwerk-Benutzerordner eingerichtet sind, wird ein Windows-Netzwerk-Benutzerordner als Mac OS X-Benutzerordner aktiviert, wenn sich der Benutzer anmeldet. Sie legen fest, ob der Speicherort des Netzwerk-Benutzerordners mit dem standardmäßigen Active Directory-Attribut „homeDirectory“ oder mit dem Mac OS X-Attribut „homeDirectory“ bestimmt wird, sofern das Active Directory-Schema entsprechend erweitert wurde. Bei lokalen Benutzerordnern hat jeder Active Directory-Benutzer, der sich anmeldet, einen Benutzerordner auf dem Mac OS X Startvolume. Zusätzlich wird der Netzwerk-Benutzerordner des Benutzers als Netzwerkvolume aktiviert. Der Benutzer kann Dateien zwischen diesem Netzwerkvolume und dem lokalen Benutzerordner kopieren. Gehen Sie wie folgt vor, um Benutzerordner für Active Directory-BenutzerAccounts einzurichten: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“. 5 Klicken Sie auf „Benutzereinstellungen“. 6 Sollen Active Directory-Benutzer-Accounts über lokale Benutzerordner im Ordner „/Benutzer“ des Computers verfügen, klicken Sie auf „Lokalen Benutzerordner unbedingt auf dem Startvolume anlegen“. Diese Option ist nicht verfügbar, wenn „Mobilen Account bei der Anmeldung erstellen“ ausgewählt ist. 7 Soll das Active Directory-Standardattribut für den Speicherort des Benutzerordners verwendet werden, wählen Sie „UNC-Pfad von Active Directory verwenden, um den Benutzerordner im Netzwerk abzuleiten“. Wählen Sie dann eines der folgenden Protokolle für den Zugriff auf den Benutzerordner aus: Â Möchten Sie das standardmäßige Windows-Protokoll „SMB“ verwenden, wählen Sie „smb“ aus dem Einblendmenü „Zu verwendendes Netzwerkprotokoll“ aus. Â Möchten Sie das standardmäßige Macintosh-Protokoll „AFP“ verwenden, wählen Sie „afp“ aus dem Einblendmenü „Zu verwendendes Netzwerkprotokoll“ aus. 192 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 8 Möchten Sie das Mac OS X-Attribut für den Speicherort des Benutzerordners verwenden, deaktivieren Sie „UNC-Pfad von Active Directory verwenden, um den Benutzerordner im Netzwerk abzuleiten“. Möchten Sie das Mac OS X-Attribut verwenden, muss das Active Directory-Schema entsprechend erweitert sein. 9 Klicken Sie auf „OK“. Wenn Sie den Namen eines Benutzer-Accounts in der Active Directory-Domain ändern, erstellt der Server einen Benutzerordner (und Unterordner) für den Benutzer-Account, wenn er das nächste Mal für die Anmeldung bei einem Mac OS X-Computer genutzt wird. Der Benutzer kann den alten Benutzerordner weiterhin auswählen und dessen Inhalt im Finder anzeigen. Sie können die Erstellung eines neuen Benutzerordners verhindern, indem Sie den alten Ordner umbenennen, bevor sich der Benutzer das nächste Mal anmeldet. Einrichten einer UNIX Shell für Active Directory-Benutzer-Accounts Auf einem Computer, der für die Verwendung des Active Directory-Plug-Ins des Programms „Verzeichnisdienste“ konfiguriert ist, können Sie die Befehlszeilen-Shell festlegen, die Benutzer mit Active Directory-Accounts standardmäßig verwenden werden, wenn sie im Programm „Terminal“ mit Mac OS X interagieren. Die Standard-Shell wird auch für die Interaktion per Fernzugriff über SSH (Secure Shell) oder Telnet verwendet. Jeder Benutzer kann die Standard-Shell übergehen, indem er eine Terminal-Einstellung ändert. Gehen Sie wie folgt vor, um eine UNIX Shell für Active Directory-BenutzerAccounts einzurichten: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“. 5 Klicken Sie auf „Benutzereinstellungen“. 6 Markieren Sie das Feld für die standardmäßige Benutzer-Shell und geben Sie den Pfad der standardmäßigen Benutzer-Shell ein. 7 Klicken Sie auf „OK“. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 193 Zuordnen der Benutzerkennung (UID) zu einem Active Directory-Attribut Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung des Active Directory-Plug-Ins konfiguriert ist, können Sie ein Active Directory-Attribut festlegen, das dem UID-Attribut von Mac OS X zugeordnet werden soll. Das Active Directory-Schema muss im Normalfall um ein Attribut erweitert werden, das für die Zuordnung zur UID geeignet ist: Â Wenn der Active Directory-Administrator das Active Directory-Schema erweitert, indem er die Microsoft-Dienste für UNIX installiert, können Sie die UID dem Attribut „msSFU-30-Uid-Number“ zuordnen. Â Wenn der Active Directory-Administrator das Active Directory-Schema manuell so erweitert, dass es das Attribut „RFC 2307“ enthält, können Sie die UID dem Attribut „uidNumber“ zuordnen. Â Wenn der Active Directory-Administrator das Active Directory-Schema manuell so erweitert, dass es das Mac OS X Attribut „UniqueID“ enthält, können Sie die UID diesem Attribut zuordnen. Wenn die UID-Zuordnung deaktiviert ist, generiert das Active Directory-Plug-In eine UID basierend auf dem Standard-GUID-Attribut von Active Directory. ACHTUNG: Wenn Sie die Zuordnung der UID zu einem späteren Zeitpunkt ändern, verlieren Benutzer u. U. den Zugriff auf zuvor erstellte Dateien. Gehen Sie wie folgt vor, um die UID einem Attribut in einem erweiterten Active Directory-Schema zuzuordnen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“. 5 Klicken Sie auf „Pfade“. 6 Wählen Sie „Eindeutige Kennung (UID) auf Attribut“ und geben Sie den Namen des Active Directory-Attributs ein, den Sie der UID zuordnen möchten. 7 Klicken Sie auf „OK“. 194 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Zuordnen der Primärgruppen-ID zu einem Active Directory-Attribut Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung des Active Directory-Plug-Ins konfiguriert ist, können Sie ein Active Directory-Attribut festlegen, das dem Primärgruppen-ID-Attribut (GID) von Mac OS X in Benutzer-Accounts zugeordnet werden soll. Das Active Directory-Schema muss im Normalfall um ein Attribut erweitert werden, das für die Zuordnung zur Primär-GID geeignet ist: Â Wenn der Active Directory-Administrator das Active Directory-Schema erweitert, indem er die Microsoft-Dienste für UNIX installiert, können Sie die primäre GID dem Attribut „msSFU-30-Gid-Number“ zuordnen. Â Wenn der Active Directory-Administrator das Active Directory-Schema manuell so erweitert, dass es das Attribut „RFC 2307“ enthält, können Sie die primäre GID dem Attribut „gidNumber“ zuordnen. Â Wenn der Active Directory-Administrator das Active Directory-Schema manuell so erweitert, dass es das Mac OS X-Attribut „PrimaryGroupID“ enthält, können Sie die primäre GID diesem Attribut zuordnen. Wenn die Zuordnung der Primär-GID deaktiviert ist, generiert das Active Directory-PlugIn eine Primär-GID basierend auf dem Standard-GUID-Attribut von Active Directory. ACHTUNG: Wenn Sie die Zuordnung der Primär-GID zu einem späteren Zeitpunkt ändern, verlieren Benutzer u. U. den Zugriff auf zuvor erstellte Dateien. Gehen Sie wie folgt vor, um die primäre GID einem Attribut in einem erweiterten Active Directory-Schema zuzuordnen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“. 5 Klicken Sie auf „Pfade“. 6 Wählen Sie „Eindeutige Benutzerkennung (GID) auf Attribut zuordnen“ und geben Sie den Namen des Active Directory-Attributs ein, das Sie der Primärgruppen-ID in Benutzer-Accounts zuordnen möchten. 7 Klicken Sie auf „OK“. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 195 Zuordnen der Gruppen-ID in Gruppen-Accounts zu einem Active Directory-Attribut Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung des Active Directory-Plug-Ins konfiguriert ist, können Sie ein Active Directory-Attribut festlegen, das dem Gruppen-ID-Attribut (GID) von Mac OS X in Gruppen-Accounts zugeordnet werden soll. Das Active Directory-Schema muss im Normalfall um ein Attribut erweitert werden, das für die Zuordnung zur GID geeignet ist: Â Wenn der Active Directory-Administrator das Active Directory-Schema erweitert, indem er die Microsoft-Dienste für UNIX installiert, können Sie die GID dem Attribut „msSFU-30-Gid-Number“ zuordnen. Â Wenn der Active Directory-Administrator das Active Directory-Schema manuell so erweitert, dass es das Attribut „RFC 2307“ enthält, können Sie die GID dem Attribut „gidNumber“ zuordnen. Â Wenn der Active Directory-Administrator das Active Directory-Schema manuell so erweitert, dass es das Mac OS X-Attribut „gidNumber“ enthält, können Sie die GID diesem Attribut zuordnen. Wenn die Zuordnung der GID deaktiviert ist, generiert das Active Directory-Plug-In eine GID basierend auf dem Standard-GUID-Attribut von Active Directory. ACHTUNG: Wenn Sie die Zuordnung der GID zu einem späteren Zeitpunkt ändern, verlieren Benutzer u. U. den Zugriff auf zuvor erstellte Dateien. Gehen Sie wie folgt vor, um die GID einem Attribut in einem erweiterten Active Directory-Schema zuzuordnen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“. 5 Klicken Sie auf „Pfade“. 6 Wählen Sie „Eindeutige Gruppenkennung (GID) auf Attribut zuordnen“ und geben Sie den Namen des Active Directory-Attributs ein, das Sie der GID in Gruppen-Accounts zuordnen möchten. 7 Klicken Sie auf „OK“. 196 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Angeben eines bevorzugten Active Directory-Servers Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung des Active Directory-Plug-Ins konfiguriert ist, können Sie den DNS-Namen des Servers angeben, auf dessen Active Directory-Domain der Computer standardmäßig zugreifen soll. Steht der Server zu einem späteren Zeitpunkt einmal nicht zur Verfügung, schaltet das Active Directory-Plug-In auf einen anderen nahen Server in der Gesamtstruktur um. Ist diese Option deaktiviert, bestimmt das Active Directory-Plug-In die nächste Active Directory-Domain in der Gesamtstruktur. Gehen Sie wie folgt vor, um einen bevorzugten Server für den Zugriff durch das Active Directory-Plug-In festzulegen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“. 5 Klicken Sie auf „Administration“. 6 Wählen Sie „Bevorzugter Domain-Server“ aus und geben Sie den DNS-Namen des Active Directory-Servers ein. 7 Klicken Sie auf „OK“. Ändern der Active Directory-Gruppen, die den Computer verwalten können Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung des Active Directory-Plug-Ins konfiguriert ist, können Sie Active Directory-GruppenAccounts identifizieren, deren Mitglieder Administratorrechte für den Computer erhalten sollen. Benutzer, die Mitglieder dieser Active Directory-Benutzer-Accounts sind, können Verwaltungsaufgaben ausführen wie z. B. das Installieren von Software auf dem von Ihnen konfigurierten Mac OS X-Computer. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 197 Gehen Sie wie folgt vor, um Active Directory-Gruppen-Accounts hinzuzufügen oder zu löschen, deren Mitglieder Administratorrechte haben: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“. 5 Klicken Sie auf „Administration“. 6 Wählen Sie „Verwaltung ermöglichen durch“ und ändern Sie die Liste der Active Directory-Gruppen-Accounts, deren Mitglieder Administratorrechte erhalten sollen: Â Fügen Sie eine Gruppe hinzu, indem Sie auf die Taste „Hinzufügen“ (+) klicken und den Active Directory-Domain-Namen, einen umgekehrten Schrägstrich und den GruppenAccount-Namen eingeben (z. B. „ADS\Domain Admins, IL2\Domain Admins“). Â Löschen Sie eine Gruppe, indem Sie sie in der Liste auswählen und dann auf die Taste „Löschen“ (–) klicken. 7 Klicken Sie auf „OK“. Steuern der Identifizierung von allen Domains in einer Active Directory-Gesamtstruktur Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung des Active Directory-Plug-Ins konfiguriert ist, können Sie Benutzern in der Active Directory-Gesamtstruktur die Identifizierung von allen Domains erlauben oder auf Benutzer von bestimmten Domains einschränken. Gehen Sie wie folgt vor, um zu steuern, ob Benutzer sich von allen Domains in der Gesamtstruktur identifizieren können: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“. 198 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 5 Klicken Sie auf „Administration“. 6 Wählen Sie „Identifizierung aus jeder Domain in der Gesamtstruktur ermöglichen“. Wenn Sie „Identifizierung aus jeder Domain in der Gesamtstruktur ermöglichen“ auswählen, können Sie die Active Directory-Gesamtstruktur zu den eigenen Suchpfaden des Computers für Identifizierungen und Kontakte hinzufügen. Wenn Sie eine Active Directory-Gesamtstruktur zu einem angepassten Suchpfad hinzufügen, wird sie in der Liste der verfügbaren Verzeichnis-Domains als „/Active Directory/All Domains“ angezeigt. (Dies ist die Standardeinstellung.) Wenn Sie „Identifizierung aus jeder Domain in der Gesamtstruktur ermöglichen“ deaktivieren, können Sie den eigenen Suchpfaden des Computers einzelne Active DirectoryDomains für Identifizierungen und Kontakte hinzufügen. Wenn Sie Active DirectoryDomains zu einem angepassten Suchpfad hinzufügen, werden alle Active DirectoryDomains in der Liste der verfügbaren Verzeichnis-Domains separat angezeigt. 7 Klicken Sie auf „OK“. 8 Ändern Sie nach Auswahl von „Identifizierung aus jeder Domain in der Gesamtstruktur ermöglichen“ den angepassten Suchpfad in den Bereichen „Identifizierung“ und „Kontakte“ so, dass die Active Directory-Gesamtstruktur oder ausgewählte Domains enthalten sind. Weitere Informationen zum Ändern eines angepassten Suchpfads finden Sie im Abschnitt „Definieren von eigenen Suchpfaden“ auf Seite 151. Lösen der Bindung zum Active Directory-Server Wenn der Computer das Active Directory-Plug-In des Programms „Verzeichnisdienste“ für die Bindung an einen Active Directory-Server verwendet, können Sie die Bindung zum Active Directory-Server lösen. Sie können das Lösen der Bindung erzwingen, wenn der Computer nicht mit dem Server kommunizieren kann oder der Computereintrag vom Server entfernt wurde. Gehen Sie wie folgt vor, um den Computer vom Active Directory-Server zu trennen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). Kapitel 8 Erweiterte Einstellungen für Directory-Clients 199 4 Klicken Sie auf „Trennen“, identifizieren Sie sich als ein Benutzer mit den erforderlichen Rechten zum Trennen einer Verbindung zur Active Directory-Domain und klicken Sie auf „OK“. Wenn eine Warnmeldung mit dem Hinweis angezeigt wird, dass die Anmeldedaten nicht akzeptiert wurden oder der Computer nicht mit Active Directory kommunizieren kann, klicken Sie auf „Bindung sofort lösen“, um das Trennen der Verbindung zu erzwingen. Wenn Sie die Bindung sofort trennen, enthält Active Directory dennoch einen Computereintrag für diesen Computer. Informieren Sie den Active Directory-Administrator darüber, damit dieser den Computereintrag entfernt. 5 Deaktivieren Sie im Bereich „Dienste“ die Active Directory-Einstellung „Aktivieren“ und klicken Sie auf „Anwenden“. Bearbeiten von Benutzer-Accounts und anderen Datensätzen in Active Directory Sie können mit dem Arbeitsgruppenmanager Änderungen an Benutzer- und GruppenAccounts, Computergruppen und anderen Datensätzen in einer Active Directory-Domain vornehmen. Außerdem können Sie mit dem Arbeitsgruppenmanager Datensätze in einer Active Directory-Domain löschen. Wenn das Active Directory-Schema um standardmäßige Mac OS X-Datensatztypen (Objektklassen) und -attribute erweitert wird, können Sie mit dem Arbeitsgruppenmanager Computergruppen in der Active Directory-Domain erstellen und bearbeiten. Weitere Informationen zum Arbeiten mit Benutzer- und Gruppen-Accounts und mit Computergruppen finden Sie im Handbuch Benutzerverwaltung. Wenn Sie Benutzer- oder Gruppen-Accounts in einer Active Directory-Domain erstellen, verwenden Sie die Active Directory-Verwaltungswerkzeuge von Microsoft auf einem Windows Server-Administratorcomputer. Konfigurieren des LDAP-Zugriffs auf Active Directory-Domains Mit dem Programm „Verzeichnisdienste“ können Sie eine LDAPv3-Konfiguration für den Zugriff auf eine Active Directory-Domain auf einem Windows-Server einrichten. Eine LDAPv3-Konfiguration bietet Ihnen eine umfassende Steuerung der Zuordnung von Mac OS X-Datensatztypen und -attributen zu Active Directory-Objektklassen, Suchbeginnen und Attributen. Die Zuordnung einiger wichtiger Mac OS X-Datensatztypen und -attribute wie die UID erfordert eine Erweiterung des Active Directory-Schemas. 200 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Eine LDAPv3-Konfiguration enthält keine der folgenden Funktionen des im Programm „Verzeichnisdienste“ aufgelisteten Active Directory-Plug-Ins: Â Â Â Â Dynamische Generierung einer eindeutigen Benutzer-ID und Primärgruppen-ID Erstellung eines lokalen Mac OS X-Benutzerordners Automatische Aktivierung der Windows-Benutzerordner Mobile Benutzer-Accounts mit im Cache abgelegten Anmeldedaten für die Identifizierung Â Ermittlung aller Domains in einer Active Directory-Gesamtstruktur Â Unterstützung für Active Directory-Replikation und -Ausfallumschaltung Weitere Informationen hierzu finden Sie im Abschnitt „Zugriff auf Active Directory“ auf Seite 186. Gehen Sie wie folgt vor, um eine Active Directory-Server-Konfiguration zu erstellen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Klicken Sie auf „Neu“ und geben Sie den DNS-Namen oder die IP-Adresse des Active Directory-Servers ein. 5 Wählen Sie aus den folgenden Optionen für den Zugriff auf das Verzeichnis aus und klicken Sie dann auf „Fortfahren“, damit das Programm „Verzeichnisdienste“ Informationen vom Active Directory-Server abruft. Â Wählen Sie „Verschlüsselung mit SSL“, wenn Open Directory SSL für Verbindungen mit dem Active Directory Server verwenden soll. Erkundigen Sie sich vor Auswahl des Markierungsfeld „SSL“ bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist. Â Wählen Sie „Für Identifizierung verwenden“, wenn dieses Verzeichnis BenutzerAccounts enthält, die zur Anmeldung oder Identifizierung bei Diensten verwendet werden. Â Wählen Sie „Für Kontakte verwenden“, wenn dieses Verzeichnis E-Mail-Adressen und weitere Informationen enthält, die Sie im Adressbuch verwenden möchten. Wenn das Programm „Verzeichnisdienste“ die Verbindung zum Active Directory-Server nicht herstellen kann, wird eine entsprechende Meldung angezeigt und Sie müssen den Zugriff manuell konfigurieren oder die Konfiguration abbrechen. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren des manuellen Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 161. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 201 Wenn Sie „Für Identifizierung verwenden“ oder „Für Kontakte verwenden“ ausgewählt haben, wird die LDAPv3-Verbindung zur Active Directory-Domain zu einem angepassten Suchpfad im Bereich „Identifizierung“ oder „Kontakte“ des Programms „Verzeichnisdienste“ hinzugefügt. Vergewissern Sie sich, dass LDAPv3 im Bereich „Dienste“ aktiviert ist, sodass der Computer die eingerichtete Verbindung verwendet. Weitere Informationen hierzu finden Sie im Abschnitt „Aktivieren oder Deaktivieren von LDAP-Verzeichnisdiensten“ auf Seite 154. 6 Wenn im erweiterten Dialogfenster Zuordnungsoptionen angezeigt werden, wählen Sie „Active Directory“ aus dem Einblendmenü aus, geben den Suchbeginn ein und klicken dann auf „Fortfahren“. Die Active Directory-Zuordnungsvorlage für eine LDAPv3-Konfiguration ordnet einige Mac OS X Datensatztypen und Attribute Objektklassen und Attributen zu, die nicht Teil eines Active Directory-Standardschemas sind. Sie können die von der Vorlage definierten Zuordnungen ändern oder das Active Directory-Schema erweitern. Alternativ haben Sie ggf. die Möglichkeit, über das Active Directory-Plug-In anstelle mit LPAPv3 auf Ihre Active Directory-Domain zuzugreifen. Weitere Informationen hierzu finden Sie in „Konfigurieren des Zugriffs auf eine Active Directory-Domain“. 7 Wenn im erweiterten Dialogfenster Verbindungsoptionen anzeigt werden, geben Sie den Namen und das Kennwort eines Active Directory-Benutzer-Accounts ein. 8 Klicken Sie auf „OK“, um die Erstellung einer LDAP-Verbindung abzuschließen. 9 Klicken Sie auf „OK“, um die Konfiguration von LDAPv3-Optionen abzuschließen. Festlegen von NIS-Einstellungen Mit dem Programm „Verzeichnisdienste“ können Sie eine Konfiguration erstellen, die festlegt, wie Mac OS X auf eine NIS-Domain (Network Information Service) zugreift. Gehen Sie wie folgt vor, um eine Konfiguration für den Zugriff auf eine NIS-Domain zu erstellen: 1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 3 Wählen Sie in der Liste der Dienste „Lokale BSD-Konfigurationsdateien und NIS“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 4 Geben Sie den Namen der NIS-Domain oder den DNS-Namen bzw. die IP-Adresse des Servers ein, auf dem sich die NIS-Domain befindet. Fügen Sie den Hostnamen oder die IP-Adresse des NIS-Servers hinzu, wenn dies aus Sicherheitsgründen erforderlich ist oder wenn sich der Server nicht im selben Teilnetz wie der zu konfigurierende Computer befindet. 202 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Wenn Sie keinen Server angeben, ermittelt NIS mithilfe eines Broadcast-Protokolls eine NIS-Server im Teilnetz. 5 Wählen Sie „NIS-Domain zur Identifizierung verwenden“ und klicken Sie auf „OK“. Die NIS-Domain wird als /BSD/domain zum Suchpfad für die Identifizierung des Computers hinzugefügt. domain gibt dabei den in Schritt 4 eingegebenen Namen an. Festlegen von Einstellungen für BSD-Konfigurationsdateien Administrative Daten wurden auf UNIX-Computern seit jeher in Konfigurationsdateien wie „/etc/master.passwd“, „/etc/group“ und „/etc/hosts“ gespeichert. Mac OS X basiert auf einer BSD-Version von UNIX, bezieht administrative Daten aber normalerweise aus Verzeichnissystemen. Mac OS X Server unterstützt einen feststehenden Satz von BSD-Konfigurationsdateien. Sie können weder angeben, welche Konfigurationsdateien verwendet werden, noch können Sie ihren Inhalt Mac OS X Datensatztypen und Attributen zuordnen. Unter Mac OS X 10.2 (oder neuer, einschließlich Mac OS X Server 10.2 oder neuer) kann Open Directory administrative Daten von BSD-Konfigurationsdateien abrufen. Dies gibt Unternehmen, die über BSD-Konfigurationsdateien verfügen, die Möglichkeit, Kopien der vorhandenen Dateien auf Mac OS X-Computern zu verwenden. BSD-Konfigurationsdateien können alleine oder zusammen mit anderen Verzeichnis-Domains verwendet werden. Gehen Sie wie folgt vor, um BSD-Konfigurationsdateien zu verwenden: 1 Vergewissern Sie sich, dass die BSD-Konfigurationsdateien die Daten enthalten, die für Mac OS X Verzeichnisdienste erforderlich sind. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren von Daten in BSD-Konfigurationsdateien“ auf Seite 204. 2 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“. 3 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name und Kennwort eines Administrators eingeben. 4 Wählen Sie in der Liste der Dienste „Lokale BSD-Konfigurationsdateien und NIS“ aus und klicken Sie dann auf die Taste „Bearbeiten“ (/). 5 Wählen Sie „Benutzer- und Gruppeneinträge im lokalen BSD-Knoten verwenden“ und klicken Sie dann auf „OK“. Die Domain für BSD-Konfigurationsdateien wird dem Suchpfad für die Identifizierung des Computers in folgender Form hinzugefügt „/BSD/local“. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 203 Konfigurieren von Daten in BSD-Konfigurationsdateien Wenn Sie wollen, dass ein Mac OS X-Computer administrative Daten aus BSD-Konfigurationsdateien erhält, müssen die Daten in den Dateien vorhanden sein und in dem von Mac OS X benötigten Format vorliegen. Möglicherweise müssen Sie Daten in den Dateien hinzufügen, ändern oder neu anordnen. Der Arbeitsgruppenmanager kann keine Änderungen an Daten in BSD-Konfigurationsdateien vornehmen, sodass Sie die notwendigen Änderungen mithilfe eines Texteditors oder anderer Werkzeuge vornehmen müssen. In der folgenden Tabelle werden die Namen der Dateien aufgelistet und deren Inhalt beschrieben. BSD-Konfigurationsdatei enthält /etc/master.passwd Benutzernamen, Kennwörter, IDs, Primärgruppen-IDs usw. /etc/group Gruppennamen, IDs und Mitglieder /etc/fstab NFS-Aktivierungen /etc/hosts Computernamen und -adressen /etc/networks Netzwerknamen und -adressen /etc/services Dienstnamen, Anschlüsse und Protokolle /etc/protocols IP-Protokollnamen und -nummern /etc/rpcs RPC-Server für offene Netzwerke /etc/printcap Druckernamen und -fähigkeiten /etc/bootparams Bootparam-Einstellungen /etc/bootp Bootp-Einstellungen /etc/aliases Mail-Aliasnamen und Verteilerlisten /etc/netgroup Netzwerkweite Gruppennamen und -mitglieder Weitere Informationen zu den von Mac OS X-Verzeichnisdiensten benötigten Daten finden Sie im Anhang „Mac OS X-Verzeichnisdaten“. 204 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 9 Pflegen von Open DirectoryDiensten 9 Sie können Open Directory-Dienste überwachen, unformatierte Daten aus Open Directory-Domains anzeigen und bearbeiten und Open Directory-Dateien sichern. Zu den fortlaufenden Aufgaben bei der Verwaltung von Open Directory-Diensten zählen Folgende: Â „Zugriffssteuerung für Open Directory-Server und -Dienste“ auf Seite 205 Â „Überwachen von Open Directory“ auf Seite 209 Â „Anzeigen und Bearbeiten von Verzeichnisdaten“ auf Seite 212 Â „Importieren von Einträgen beliebigen Typs“ auf Seite 216 Â „Festlegen von Optionen für einen Open Directory-Server“ auf Seite 217 Â „Verwalten der Open Directory-Replikation“ auf Seite 224 Â „Archivieren eines Open Directory-Masters“ auf Seite 230 Â „Wiederherstellen eines Open Directory-Masters“ auf Seite 231 Informationen zum Beseitigen von Open Directory-Problemen finden Sie im Abschnitt „Fehlerbeseitigung“ auf Seite 235. Zugriffssteuerung für Open Directory-Server und -Dienste Sie können den Zugriff auf einen Open Directory-Master oder eine Replik steuern, indem Sie Beschränkungen dafür festlegen, wer sich mithilfe des Anmeldefensters oder des ssh-Befehlszeilenprogramms anmelden kann. Weitere Informationen hierzu finden Sie in folgenden Abschnitten: Â „Zugriffssteuerung für das Anmeldefenster eines Servers“ auf Seite 206 Â „Zugriffssteuerung für den SSH-Dienst“ auf Seite 206 Â „Konfigurieren der Zugriffssteuerung für Dienste“ auf Seite 207 Â „Konfigurieren von Zugriffsrechten für Ressourcen“ auf Seite 208 205 Zugriffssteuerung für das Anmeldefenster eines Servers Mithilfe des Programms „Server-Admin“ können Sie steuern, welche Benutzer sich mit dem Anmeldefenster bei Mac OS X Server anmelden können. Benutzer mit Zugriffsrechten eines Serveradministrators können sich immer beim Server anmelden. Gehen Sie wie folgt vor, um zu steuern, wer das Anmeldefenster auf einem Server verwenden kann: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf „Einstellungen“ und anschließend auf „Zugriff“. 3 Klicken Sie auf „Dienste“. 4 Wählen Sie „Für folgende Dienste“ aus und wählen Sie in der Liste auf der linken Seite den Eintrag „Anmeldefenster“ aus. 5 Wählen Sie „Nur folgende Benutzer und Gruppen“ aus und bearbeiten Sie die Liste der Benutzer und Gruppen, denen die Anmeldung über das Anmeldefenster möglich sein soll: Â Fügen Sie Benutzer oder Gruppen hinzu, die das Anmeldefenster verwenden können, indem Sie auf die Taste „Hinzufügen“ (+) klicken und die erforderlichen Informationen bereitstellen. Â Entfernen Sie Benutzer oder Gruppen aus der Liste, indem Sie einen oder mehrere Einträge auswählen und auf die Taste „Löschen“ (–) klicken. 6 Klicken Sie auf „Sichern“. Ist „Alle Benutzer und Gruppen zulassen“ ausgewählt, wenn Sie in Schritt 4 „Für folgende Dienste“ auswählen, erlauben alle Dienste mit Ausnahme des Anmeldefenster allen Benutzern und Gruppen den Zugriff. Wenn Sie einschränken möchten, wer außer auf das Anmeldefenster auch auf andere aufgelistete Dienste zugreifen kann, wählen Sie den Dienst in der Liste aus und wählen Sie „Nur folgende Benutzer und Gruppen“. Fügen Sie dann Benutzer und Gruppen zur Liste hinzu. Sollen sich alle Benutzer mit dem Anmeldefenster des Servers anmelden, wählen Sie „Anmeldefenster“ und dann „Alle Benutzer und Gruppen zulassen“ aus. Zugriffssteuerung für den SSH-Dienst Mithilfe des Programms „Server-Admin“ können Sie steuern, welche Benutzer eine Verbindung über ein Befehlszeilenprogramm zu Mac OS X Server öffnen können, indem Sie den Befehl ssh im Programm „Terminal“ verwenden. Benutzer mit Serveradministrator-Zugriffsrechten können eine Verbindung immer mit dem Befehl ssh öffnen. Der Befehl ssh verwendet den SSH-Dienst (Secure Shell). Informationen zum Befehl ssh finden Sie im Handbuch Command-Line Administration. 206 Kapitel 9 Pflegen von Open Directory-Diensten Gehen Sie wie folgt vor, um zu steuern, wer eine SSH-Verbindung zu einem entfernten Server öffnen kann: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf „Einstellungen“ und anschließend auf „Zugriff“. 3 Klicken Sie auf „Dienste“. 4 Wählen Sie „Für folgende Dienste“ aus und wählen Sie in der Liste auf der linken Seite den Eintrag „SSH“ aus. 5 Wählen Sie „Nur folgende Benutzer und Gruppen“ aus und bearbeiten Sie die Liste der Benutzer und Gruppen, die SSH-Zugriff auf den Server erhalten sollen: Â Fügen Sie Benutzer oder Gruppen hinzu, die SSH-Verbindungen öffnen können, indem Sie auf die Taste „Hinzufügen“ (+) klicken und die erforderlichen Informationen bereitstellen. Â Entfernen Sie Benutzer oder Gruppen aus der Liste, indem Sie einen oder mehrere Einträge auswählen und auf die Taste „Löschen“ (–) klicken. 6 Klicken Sie auf „Sichern“. Ist „Alle Benutzer und Gruppen zulassen“ ausgewählt, wenn Sie in Schritt 4 „Für folgende Dienste“ auswählen, erlauben alle Dienste mit Ausnahme von SSH allen Benutzern und Gruppen den Zugriff. Wenn Sie einschränken möchten, wer neben SSH auf andere aufgelistete Dienste zugreifen kann, wählen Sie den Dienst in der Liste aus und wählen Sie „Nur folgende Benutzer und Gruppen“. Fügen Sie dann Benutzer und Gruppen zur Liste hinzu. Wenn alle Benutzer eine SSH-Verbindung zum Server öffnen können sollen, wählen Sie zuerst „SSH“ und dann „Alle Benutzer und Gruppen zulassen“. Konfigurieren der Zugriffssteuerung für Dienste Mit dem Programm „Server-Admin“ können Sie Zugriffssteuerungslisten für Dienste (SACLs) konfigurieren. Mithilfe von SACLs können Sie festlegen, welche Administratoren Zugriff auf Open Directory erhalten. SACLs ermöglichen eine bessere Steuerung darüber, welche Administratoren Zugriff zum Überwachen und Verwalten des Diensts erhalten. Nur die in einer SACL aufgelisteten Benutzer und Gruppen können auf den jeweiligen Dienst zugreifen. Wenn Sie beispielsweise Benutzern oder Gruppen Administratorzugriff für den Open Directory-Dienst auf Ihrem Server gewähren möchten, fügen Sie sie zur Open Directory-SACL hinzu. Kapitel 9 Pflegen von Open Directory-Diensten 207 Gehen Sie wie folgt vor, um SACL-Berechtigungen für den Open DirectoryDienst festzulegen: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf „Einstellungen“ und anschließend auf „Zugriff“. 3 Klicken Sie auf „Administratoren“. 4 Wählen Sie die gewünschte Einschränkung für die Dienste aus. Wählen Sie „Für alle Dienste“, um den Zugriff auf alle Dienste einzuschränken. Wählen Sie „Für folgende Dienste“ und wählen Sie dann Open Directory aus der Dienstliste aus, um Zugriffsrechte für diesen Dienst festzulegen. 5 Klicken Sie auf die Taste „Hinzufügen“ (+), um das Fach „Benutzer und Gruppen“ zu öffnen. 6 Bewegen Sie Benutzer und Gruppen aus dem Fach „Benutzer und Gruppen“ in die Liste. 7 Legen Sie die Berechtigung für die Benutzer fest. Wählen Sie „Verwalten“ aus dem Einblendmenü für Berechtigungen neben dem Benutzernamen aus, um Administratorzugriff zu gewähren. Wählen Sie „Überwachen“ aus dem Einblendmenü für Berechtigungen neben dem Benutzernamen aus, um Zugriff für die Überwachung zu gewähren. 8 Klicken Sie auf „Sichern“. Konfigurieren von Zugriffsrechten für Ressourcen Mit dem Programm „Server-Admin“ können Sie Zugriffsrechte für Ressourcen konfigurieren. Anhand dieser Zugriffsrechte können Sie festlegen, welche Benutzer oder Gruppen Ressourcentypen in der Datenbank der Verzeichnis-Domain verwalten können. Gehen Sie wie folgt vor, um Zugriffsrechte für Ressourcentypen zu konfigurieren: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Rechte“. 5 Wählen Sie die Ressourcentypen aus, deren Verwaltung Sie Benutzern oder Gruppen ermöglichen wollen. „Verwalten“ bedeutet, dass der Benutzer die Eigenschaften eines vorhandenen Ressourcentyps ändern kann. 208 Kapitel 9 Pflegen von Open Directory-Diensten Sollen ausgewählte Benutzer alle Ressourcen verwalten können, wählen Sie „Für alle Ressourcentypen“. Sollen ausgewählte Benutzer bestimmte Ressourcen verwalten können, wählen Sie „Für ausgewählte Ressourcentypen“. Wählen Sie dann die Ressourcentypen aus, deren Verwaltung Ihren Benutzern gestattet sein soll. 6 Klicken Sie auf die Taste „Hinzufügen“ (+), um das Fach „Benutzer und Gruppen“ zu öffnen. 7 Bewegen Sie Benutzer und Gruppen aus dem Fach „Benutzer und Gruppen“ in die Liste. Die zur Liste hinzugefügten Benutzer erhalten die erforderlichen Zugriffsrechte zum Verwalten dieses Ressourcentyps. 8 Wählen Sie die Objekte in der Liste „Ressourcentypen“ aus, deren Erstellung Sie Benutzern oder Gruppen ermöglichen wollen. „Erstellen“ bedeutet, dass der Benutzer diesen Ressourcentyp erstellen kann (z. B. für einen Konferenzraum). Sollen ausgewählte Benutzer alle Ressourcentypen erstellen können, wählen Sie „Für alle Ressourcentypen“. Sollen ausgewählte Benutzer bestimmte Ressourcentypen erstellen können, wählen Sie „Für ausgewählte Ressourcentypen“. Wählen Sie dann die Objekte aus, deren Erstellung Ihren Benutzern gestattet sein soll. 9 Klicken Sie auf die Taste „Hinzufügen“ (+), um das Fach „Benutzer und Gruppen“ zu öffnen. 10 Bewegen Sie Benutzer und Gruppen aus dem Fach „Benutzer und Gruppen“ in die Liste. Die zur Liste hinzugefügten Benutzer erhalten die erforderlichen Zugriffsrechte zum Erstellen dieses Ressourcentyps. 11 Klicken Sie auf „Sichern“. Überwachen von Open Directory Sie können den Open Directory-Status und Open Directory-Protokolle anzeigen, und Sie können Open Directory-Protokolle zur Identifizierung auf verdächtige Aktivitäten hin untersuchen. Anleitungen zu dieser Aufgabe finden Sie unter: Â „Überprüfen des Status eines Open Directory-Servers“ auf Seite 210 Â „Überwachen von Repliken und Relais eines Open Directory-Masters“ auf Seite 210 Â „Anzeigen von Open Directory-Status und -Protokollen“ auf Seite 210 Â „Überwachen der Open Directory-Identifizierung“ auf Seite 211 Kapitel 9 Pflegen von Open Directory-Diensten 209 Überprüfen des Status eines Open Directory-Servers Mithilfe des Programms „Server-Admin“ können Sie die korrekte Funktionsweise des Open Directory-Masters feststellen. Gehen Sie wie folgt vor, um den Status eines Open Directory-Servers zu überprüfen: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Übersicht“. 5 Vergewissern Sie sich, dass der Status aller im Übersichtsbereich von Open Directory aufgeführten Objekte „Arbeitet“ lautet. Wurde ein Objekt gestoppt, klicken Sie auf „Aktualisieren“ (oder wählen Sie „Darstellung“ > „Aktualisieren“). Wenn der Status von Kerberos weiterhin „Gestoppt“ lautet, lesen Sie bitte den Abschnitt „Kerberos ist auf einem Open Directory-Master oder einer Replik gestoppt“ auf Seite 235. Überwachen von Repliken und Relais eines Open Directory-Masters Mit dem Programm „Server-Admin“ können Sie den Status für die Replikerstellung und für die weitere Replikation überprüfen. Gehen Sie wie folgt vor, um Repliken oder Relais eines Open Directory-Masters zu überwachen: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“, um eine Liste der Repliken und deren Status einzublenden. Am Status einer neuen Replik lässt sich erkennen, ob die Erstellung erfolgreich war. Danach kennzeichnet der Status, ob die aktuellste Replikation erfolgreich ausgeführt wurde. Anzeigen von Open Directory-Status und -Protokollen Mit dem Programm „Server-Admin“ können Sie Statusinformationen und Protokolle für Open Directory-Dienste ansehen. Folgende Protokolle sind verfügbar: Â Verzeichnisdienste-Serverprotokoll Â Verzeichnisdienste-Fehlerprotokoll Â kadmin-Protokoll 210 Kapitel 9 Pflegen von Open Directory-Diensten Â Â Â Â Â Â kdc-Protokoll LDAP-Protokoll Kennwortdienst-Serverprotokoll Kennwortdienst-Fehlerprotokoll Kennwortdienst-Replikationsprotokoll slapconfig-Protokoll Gehen Sie wie folgt vor, um den Status oder die Protokolle der Verzeichnisdienste anzuzeigen: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Übersicht“, um Statusinformationen anzuzeigen. 5 Klicken Sie auf „Protokolle“ und wählen Sie aus dem Einblendmenü „Anzeigen“ das gewünschte Protokoll aus. Der Pfad zur Protokolldatei wird über dem Protokoll eingeblendet. 6 Geben Sie optional Text in das Suchfeld ein und drücken Sie den Zeilenschalter, um nur Zeilen mit dem von Ihnen eingegebenen Text anzuzeigen. Überwachen der Open Directory-Identifizierung Sie können Kennwortdienst-Protokolle verwenden, die mit Server-Admin angezeigt werden, um fehlgeschlagene Anmeldeversuche für verdächtige Aktivitäten zu überwachen. Open Directory zeichnet fehlgeschlagene Anmeldeversuche, einschließlich der IP-Adressen, die sie erzeugen, in Protokollen auf. Überprüfen Sie die Protokolle regelmäßig, um festzustellen, ob es eine große Anzahl fehlgeschlagener Versuche für dieselbe KennwortID gibt, was darauf hinweist, dass jemand versucht, Anmeldedaten herauszufinden. Gehen Sie wie folgt vor, um Open Directory-Identifizierungsprotokolle anzuzeigen: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Protokolle“ und wählen Sie das Protokoll kdc oder ein KennwortdienstProtokoll aus dem Einblendmenü „Anzeigen“ aus. Kapitel 9 Pflegen von Open Directory-Diensten 211 Anzeigen und Bearbeiten von Verzeichnisdaten Sie können unformatierte Verzeichnisdaten mithilfe des Fensters „Detailansicht“ im Arbeitsgruppenmanager anzeigen oder bearbeiten. Wenn Sie das Fenster „Detailansicht“ verwenden, sind Verzeichnisdaten verfügbar, die andernfalls im Arbeitsgruppenmanager nicht angezeigt werden. Mit dem Fenster „Detailansicht“ lassen sich Verzeichnisdaten bearbeiten, die Sie auf andere Weise im Arbeitsgruppenmanager nicht ändern können. Zum Beispiel können Sie die Detailansicht verwenden, um den ersten Kurznamen eines Benutzers zu ändern. Weitere Informationen hierzu finden Sie in folgenden Abschnitten: Â „Einblenden der Verzeichnisdetailansicht“ auf Seite 212 Â „Ausblenden der Detailansicht“ auf Seite 213 Â „Konfigurieren der Zugriffssteuerung für die Verzeichnisdienste“ auf Seite 213 Â „Löschen von Einträgen“ auf Seite 214 Â „Löschen von Benutzern oder Computern mithilfe des Fensters „Detailansicht“ oder der Befehlszeile“ auf Seite 214 Â „Ändern des Kurznamens eines Benutzers“ auf Seite 215 Einblenden der Verzeichnisdetailansicht Durch Auswahl einer bestimmten Option können Sie die Detailansicht im Arbeitsgruppenmanager anzeigen. Anschließend können Sie die Detailansicht verwenden, um unformatierte Verzeichnisdaten anzuzeigen oder zu bearbeiten. ACHTUNG: Das Ändern von unformatierten Daten in einem Verzeichnis kann unerwartete und unerwünschte Folgen haben. Möglicherweise entziehen Sie damit Benutzern oder Computern versehentlich bestimmte Rechte oder weisen Benutzern unbeabsichtigt Zugriffsrechte auf weitere Ressourcen zu. Gehen Sie wie folgt vor, um das Fenster „Detailansicht“ anzuzeigen: 1 Starten Sie den Arbeitsgruppenmanager. 2 Wählen Sie „Arbeitsgruppenmanager“ > „Einstellungen“. 3 Wählen Sie die Option „Titel „Alle Einträge“ und „Detailansicht“ einblenden“ und klicken Sie auf „OK“. 4 Zum Anzeigen von Attributen von Benutzern, Benutzergruppen, Computern oder Computergruppen klicken Sie auf die Taste „Benutzer“, Benutzergruppen“, „Computer“ oder „Computergruppen“ und klicken dann auf die Taste „Detailansicht“ (auf der rechten Seite). 5 Zum Anzeigen anderer Eintragstypen klicken Sie auf die Taste „Alle Einträge“ (die kleine Zielscheibe) neben der Taste „Computergruppen“ und wählen einen Eintragstyp aus dem Einblendmenü über der Liste aus. 212 Kapitel 9 Pflegen von Open Directory-Diensten Im Einblendmenü sind alle Standard-Eintragstypen aufgeführt, die in der VerzeichnisDomain vorhanden sind. Sie können auch „Nativ“ aus dem Einblendmenü auswählen und den Namen eines nativen Eintrags in das Feld unter dem Einblendmenü eingeben. In der Liste werden alle Einträge des Eintragstyps angezeigt, einschließlich vordefinierter Einträge. Ausblenden der Detailansicht Wenn die Detailansicht im Arbeitsgruppenmanager angezeigt wird, können Sie sie durch Auswahl einer Option in den Einstellungen des Arbeitsgruppenmanagers ausblenden. Gehen Sie wie folgt vor, um das Fenster „Detailansicht“ auszublenden: 1 Starten Sie den Arbeitsgruppenmanager. 2 Wählen Sie „Arbeitsgruppenmanager“ > „Einstellungen“. 3 Deaktivieren Sie die Option „Titel „Alle Einträge“ und „Detailansicht“ einblenden“ und klicken Sie auf „OK“. Konfigurieren der Zugriffssteuerung für die Verzeichnisdienste Open Directory bietet die Möglichkeit, für alle Komponenten des LDAP-Verzeichnisses eine Zugriffssteuerung für Verzeichnisdienste (DAC, Directory Access Control) festzulegen und so zu steuern, welcher Benutzer welche Einstellungen ändern kann. Open Directory speichert DACs in einem apple-acl-Eintrag, den Sie mit dem Fenster „Detailansicht“ im Arbeitsgruppenmanager bearbeiten können. Gehen Sie wie folgt vor, um DACs zu ändern: 1 Öffnen Sie den Arbeitsgruppenmanager und zeigen Sie das Fenster „Detailansicht“ an, falls es ausgeblendet ist. Weitere Informationen hierzu finden Sie im Abschnitt „Einblenden der Verzeichnisdetailansicht“ auf Seite 212. 2 Öffnen Sie die Verzeichnis-Domain, deren Zugriffssteuerungen Sie konfigurieren wollen, und identifizieren Sie sich als Administrator der Domain. Klicken Sie zum Öffnen einer Verzeichnis-Domain auf das kleine Kugelsymbol über der Benutzerliste und wählen Sie die entsprechende Option aus dem Einblendmenü aus. 3 Klicken Sie auf die Taste „Alle Einträge“ (neben der Taste „Computergruppe“) und wählen Sie dann aus dem Einblendmenü oben in der Liste „AccessControls“ aus. 4 Wählen Sie in der Liste der Einträge „default“ aus. 5 Wählen Sie in der Liste der Einträge „Locate AccessControlEntry“ aus. Wird neben „AccessControlEntry“ ein Dreiecksymbol angezeigt, klicken Sie darauf, um alle Zugriffssteuerungseinträge anzuzeigen. 6 Wählen Sie einen Eintrag aus „AccessControlEntry“ und klicken Sie anschließend auf „Bearbeiten“, um den Wert zu ändern. Oder Sie klicken auf „Neuer Wert“, um einen eigenen Wert hinzuzufügen. Sie können einen Wert außerdem durch Doppelklicken auswählen, um ihn zu bearbeiten. 7 Klicken Sie auf „Sichern“. Kapitel 9 Pflegen von Open Directory-Diensten 213 Löschen von Einträgen Mit dem Fenster „Detailansicht“ im Arbeitsgruppenmanager können Sie Einträge löschen. ACHTUNG: Nachdem Sie mit dem Fenster „Detailansicht“ Benutzer- oder Computereinträge gelöscht haben, löschen Sie die entsprechende Kerberos-Identität und den Kennwortserver-Slot. Wenn Sie eine Kerberos-Identität oder einen KennwortserverSlot unvollständig belassen, kann dies zu Konflikten mit einem später erstellten Benutzer- oder Computereintrag führen. ACHTUNG: Das Löschen von Einträgen kann dazu führen, dass der Server fehlerhaft arbeitet oder aussetzt. Löschen Sie Einträge nur, wenn Sie wissen, dass sie für die korrekte Funktionsweise des Servers nicht erforderlich sind. Gehen Sie wie folgt vor, um Einträge mithilfe des Fensters „Detailansicht“ zu löschen: 1 Öffnen Sie den Arbeitsgruppenmanager und blenden Sie das Fenster „Detailansicht“ ein, falls es ausgeblendet ist. Weitere Informationen hierzu finden Sie im Abschnitt „Einblenden der Verzeichnisdetailansicht“ auf Seite 212. 2 Öffnen Sie die Verzeichnis-Domain, aus der Sie einen Eintrag löschen möchten, und identifizieren Sie sich als Administrator der Domain. Klicken Sie zum Öffnen einer Verzeichnis-Domain auf das kleine Kugelsymbol über der Benutzerliste und wählen Sie die entsprechende Option aus dem Einblendmenü aus. 3 Klicken Sie auf die Taste „Alle Einträge“ (neben der Taste „Computergruppe“) und wählen Sie dann aus dem Einblendmenü über der Liste einen Datensatztyp aus. 4 Wählen Sie in der Liste der Einträge einen oder mehrere zu löschende Einträge aus. 5 Klicken Sie in der Symbolleiste auf „Löschen“ (oder wählen Sie „Server“ > „Ausgewählte Einträge löschen“). Löschen von Benutzern oder Computern mithilfe des Fensters „Detailansicht“ oder der Befehlszeile Wenn Sie das Fenster „Detailansicht“ im Arbeitsgruppenmanager oder Befehlszeilenprogramme im Programm „Terminal“ verwenden, um einen Benutzer- oder Computereintrag zu löschen, dessen Attribut „AuthenticationAuthority“ einen Kennwortserveroder Kerberos-Wert umfasst, löschen Sie die entsprechende Kerberos-Identität und den entsprechenden Kennwortserver-Slot. 214 Kapitel 9 Pflegen von Open Directory-Diensten Wenn Sie eine Kerberos-Identität im Kerberos-KDS oder einen Kennwortserver-Slot unvollständig belassen, kann dies zu Konflikten mit einem später erstellten Benutzeroder Computereintrag führen. Wenn das Attribut „AuthenticationAuthority“ einen Wert beginnend mit ;Kerberosv5; enthält, verwenden Sie den Befehl delete_principal des Befehlszeilenprogramms kadmin.local im Programm „Terminal“, um die entsprechende Kerberos-Identität aus dem Kerberos-KDC zu löschen. Weitere Informationen hierzu finden Sie auf der manSeite kadmin.local. Wenn das Attribut „AuthenticationAuthority“ einen Wert beginnend mit ;ApplePasswordServer; enthält, verwenden Sie den Befehl -deleteslot des Befehlszeilenprogramms mkpassdb im Programm „Terminal“, um den entsprechenden Kennwortserver-Slot zu löschen. Weitere Informationen hierzu finden Sie auf der manSeite mkpassdb. Wenn Sie einen Benutzer-Account im Arbeitsgruppenmanager löschen, indem Sie auf die Taste „Benutzer“ (nicht die Taste „Alle Einträge“) auf der linken Seite klicken, den Benutzer-Account auswählen und in der Symbolleiste des Arbeitsgruppenmanagers auf „Löschen“ klicken (oder indem Sie „Server“ > „Ausgewählte Benutzer löschen“ wählen), entfernt der Arbeitsgruppenmanger den Kennwortserver-Slot des BenutzerAccounts und die Kerberos-Identität für Sie. Wenn Sie einen Computereintrag löschen, indem Sie ihn in einer Computergruppe auswählen und auf die Taste „Löschen“ klicken, entfernt der Arbeitsgruppenmanager den Kennwortserver-Slot und die Kerberos-Identität des Computereintrags für Sie. Ändern des Kurznamens eines Benutzers Sie können das Befehlszeilenprogramm ldapmodrdn im Programm „Terminal“ verwenden, um den ersten Kurznamen eines Benutzers zu ändern. Abgesehen vom ersten Namen können alle anderen Kurznamen im Bereich „Allgemein“ eines ArbeitsgruppenmanagerFensters geändert werden. ACHTUNG: Das Ändern des ersten Kurznamens eines Benutzers kann unerwartete und unerwünschte Folgen haben. Andere Dienste verwenden den ersten Kurznamen jedes Benutzers als eindeutige und dauerhafte Bezeichnung. Bei einer Änderung des ersten Kurznamens eines Benutzers wird beispielsweise nicht der Benutzerordner dieses Benutzers umbenannt. Der Benutzer verwendet denselben Benutzerordner (auch wenn dessen Name nicht mit dem neuen ersten Kurznamen des Benutzers übereinstimmt), es sei denn, der Benutzer greift über eine Gruppenmitgliedschaft auf seinen Benutzerordner zu. Kapitel 9 Pflegen von Open Directory-Diensten 215 Im folgenden Beispiel wird gezeigt, wie der Kurzname eines Benutzer-Accounts mit dem Befehl ldapmodrdn geändert wird: $ ldapmodrdn -U diradmin -Y "cram-md5" -W -r "uid=oldshortname,cn=users,dc=example,dc=com" "uid=newshortname" Bei diesem Beispiel wird vorausgesetzt, dass Sie das Programm „Terminal“ auf dem Open Directory-Master-Server verwenden oder mithilfe dieses Programms auf einem anderen Computer eine SSH-Verbindung mit dem Open Directory-Master-Server eingerichtet haben. Sie ersetzen im vorliegenden Beispiel diradmin durch den Namen eines Verzeichnisadministrators, oldshortname durch den zu ändernden Kurznamen und newshortname durch den neuen Kurznamen. Außerdem müssen Sie dc=example,dc=com durch das Suchbeginn-Suffix des Servers ersetzen. Sie können das Suchbeginn-Suffix des Servers ermitteln, indem Sie im Programm „Server-Admin“ den Dienst „Open Directory“ auswählen und dann auf „Protokolle“ klicken. Wenn Sie den ersten Kurznamen eines Benutzereintrags mit mehreren Kurznamen mithilfe des Befehls ldapmodrdn ändern, wird der zweite Kurzname des Eintrags zum ersten Kurznamen und der neue Kurzname zum letzten Kurznamen. Verwenden Sie das Befehlszeilenprogramm ldapmodify, um Kurznamen neu anzuordnen. Weitere Informationen hierzu finden Sie auf der man-Seite ldapmodify. Importieren von Einträgen beliebigen Typs Der Arbeitsgruppenmanager kann alle Typen von Einträgen in das LDAP-Verzeichnis eines Open Directory-Masters importieren. Hierzu zählen Benutzer, Benutzergruppen, Computergruppen, Computer und alle anderen standardmäßigen Mac OS X-Eintragstypen. Wichtig: Wenn Sie Benutzer- oder Gruppeneinträge aus einer von Mac OS X Server 10.3 (oder älter) exportierten Datei importieren, wird jedem importierten Eintrag eine eindeutige ID (UID) zugewiesen. Stellen Sie sicher, dass GUIDs und deren Beziehungen zu bestimmten Benutzern und Gruppen gleich bleiben (falls Sie dieselben Benutzer und Gruppen erneut importieren müssen), indem Sie mit dem Arbeitsgruppenmanager von Mac OS X Server 10.5 eine Exportdatei erstellen. Verwenden Sie die 10.5-Exportdatei anstatt der mit der älteren Serverversion erstellten Exportdatei. 216 Kapitel 9 Pflegen von Open Directory-Diensten Eine Liste der Eintragstypen und -attribute, die importiert werden können, finden Sie in der folgenden Datei: System/Library/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h Informationen zu bekannten Eintrags- bzw. Datensatztypen und -attributen finden Sie im Abschnitt „Standardmäßige Open Directory-Datensatztypen und -attribute“ auf Seite 294. Weitere Informationen zum Exportieren von Benutzern und Gruppen mit dem Arbeitsgruppenmanager sowie zum Importieren von Einträgen aller Art finden Sie im Handbuch Benutzerverwaltung. Festlegen von Optionen für einen Open Directory-Server Sie können Bindungs-, Sicherheits- und Kennwortrichtlinien für einen Open DirectoryMaster und dessen Repliken einstellen. Sie können auch mehrere LDAP-Optionen für einen Open Directory-Master oder eine Replik festlegen. Weitere Informationen finden Sie unter: Â „Festlegen einer Bindungsrichtlinie für einen Open Directory-Server“ auf Seite 217 Â „Festlegen einer Sicherheitsrichtlinie für einen Open Directory-Server“ auf Seite 218 Â „Ändern der globalen Kennwortrichtlinie“ auf Seite 127 Â „Ändern des Speicherorts einer LDAP-Datenbank“ auf Seite 220 Â „Beschränken der Suchergebnisse für den LDAP-Dienst“ auf Seite 221 Â „Festlegen eines Zeitlimits für Suchvorgänge für den LDAP-Dienst“ auf Seite 221 Â „Konfigurieren von SSL für den LDAP-Dienst“ auf Seite 222 Â „Erstellen einer angepassten SSL-Konfiguration für LDAP“ auf Seite 222 Festlegen einer Bindungsrichtlinie für einen Open Directory-Server Mithilfe von Server-Admin können Sie einen Open Directory-Master so konfigurieren, dass er eine vertrauenswürdige Bindung zwischen dem LDAP-Verzeichnis und den darauf zugreifenden Computern erlaubt bzw. anfordert. Repliken des Open DirectoryMasters übernehmen automatisch dessen Bindungsrichtlinie. Bei einer vertrauenswürdigen LDAP-Bindung erfolgt eine gegenseitige Identifizierung. Der Computer bestätigt seine Identität gegenüber dem LDAP-Verzeichnis durch Angabe eines Benutzernamens und Kennworts eines LDAP-Verzeichnisadministrators. Das LDAP-Verzeichnis bestätigt seine Vertrauenswürdigkeit mithilfe eines identifizierten Computereintrags, der beim Konfigurieren der vertrauenswürdigen Bindung im Verzeichnis erstellt wird. Kapitel 9 Pflegen von Open Directory-Diensten 217 Clients können nicht so konfiguriert werden, dass sowohl eine vertrauenswürdige LDAP-Bindung als auch ein von DHCP bereitgestellter LDAP-Server verwendet wird (auch als DHCP-Option 95 bezeichnet). Bei einer vertrauenswürdigen LDAP-Bindung handelt es sich von Natur aus um eine statische Bindung, bei über DHCP bereitgestelltem LDAP um eine dynamische Bindung. Weitere Informationen hierzu finden Sie im Abschnitt „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses“ auf Seite 156. Hinweis: Damit eine vertrauenswürdige LDAP-Bindung verwendet werden kann, müssen Clients Version 10.4 oder neuer von Mac OS X oder Mac OS X Server ausführen. Clients mit Version 10.3 (oder neuer) können keine vertrauenswürdige Bindung einrichten. Gehen Sie wie folgt vor, um die Bindungsrichtlinie für einen Open DirectoryMaster festzulegen: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open Directory-Master-Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Richtlinien“. 5 Klicken Sie auf „Bindung“ und legen Sie die gewünschten Optionen für die Verzeichnisbindung fest: Â Wählen Sie „Identifizierte Verzeichnisbindung aktivieren“, um die vertrauenswürdige Bindung zuzulassen. Â Wählen Sie außerdem „Identifizierte Verzeichnisbindung der Clients erzwingen“, um eine vertrauenswürdige Bindung anzufordern. 6 Klicken Sie auf „Sichern“. Wichtig: Wenn Sie „Alle Pakete verschlüsseln (SSL oder Kerberos erforderlich)“ und „Identifizierte Verzeichnisbindung aktivieren“ auswählen, vergewissern Sie sich, dass Ihre Benutzer eine der beiden Möglichkeiten für die Bindung verwenden und nicht beide. Festlegen einer Sicherheitsrichtlinie für einen Open Directory-Server Mithilfe des Programms „Server-Admin“ können Sie eine Sicherheitsrichtlinie für den Zugriff auf das LDAP-Verzeichnis eines Open Directory-Masters konfigurieren. Repliken des Open Directory-Masters übernehmen automatisch dessen Sicherheitsrichtlinie. 218 Kapitel 9 Pflegen von Open Directory-Diensten Hinweis: Wenn Sie die Sicherheitsrichtlinie für das LDAP-Verzeichnis eines Open Directory-Masters ändern, müssen Sie die Verbindung aller mit diesem LDAP-Verzeichnis verbundenen Computer trennen und wieder herstellen. Verwenden Sie dazu das Programm „Verzeichnisdienste“ wie in den Abschnitten „Entfernen einer Verbindung zu einem Verzeichnisserver“ auf Seite 140 und „Hinzufügen einer Verbindung zu einem Open Directory-Server“ auf Seite 140 beschrieben. Gehen Sie wie folgt vor, um die Sicherheitsrichtlinie für einen Open DirectoryMaster festzulegen: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open Directory-Master-Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Richtlinien“. 5 Klicken Sie auf „Bindung“ und legen Sie die gewünschten Sicherheitsoptionen fest: Â Klartextkennwörter deaktivieren: Bestimmt, ob Clients Kennwörter unverschlüsselt senden können, wenn sich die Kennwörter mit keiner der Identifizierungsmethoden überprüfen lassen, die ein verschlüsseltes Kennwort senden. Weitere Informationen hierzu finden Sie in den Abschnitten „Auswählen von Identifizierungsmethoden für Benutzer von „Shadow“-Kennwörtern“ auf Seite 130 und „Auswählen von Identifizierungsmethoden für Open Directory-Kennwörter“ auf Seite 131. Â Alle Pakete digital signieren (Kerberos erforderlich): Sorgt dafür, dass Verzeichnisdaten vom LDAP-Server nicht von einem anderen Computer abgefangen und geändert werden, wenn sie an Client-Computer gesendet werden. Â Alle Pakete verschlüsseln (SSL oder Kerberos erforderlich): Weist den LDAP-Server an, Verzeichnisdaten mit SSL oder Kerberos zu verschlüsseln, bevor sie an ClientComputer gesendet werden. Â Man-in-the-Middle-Angriffe blockieren (Kerberos erforderlich): Bietet Schutz vor einem illegalen Server, der sich als der LDAP-Server ausgibt. Diese Option sollte für optimale Ergebnisse gemeinsam mit der Option „Alle Pakete digital signieren“ verwendet werden. Â Zwischenspeicherung auf dem Client deaktivieren: Verhindert, dass Client-Computer LDAP-Daten lokal im Cache ablegen. Â Benutzern erlauben, ihre eigenen Kontaktinformationen zu bearbeiten: Erlaubt Benutzern, Kontaktinformationen auf dem LDAP-Server zu ändern. 6 Klicken Sie auf „Sichern“. Kapitel 9 Pflegen von Open Directory-Diensten 219 Wichtig: Wenn Sie „Alle Pakete verschlüsseln (SSL oder Kerberos erforderlich)“ und „Identifizierte Verzeichnisbindung aktivieren“ auswählen, vergewissern Sie sich, dass Ihre Benutzer eine der beiden Möglichkeiten für die Bindung verwenden und nicht beide. Basierend auf diesen Einstellungen können die Sicherheitsoptionen auch auf jedem Client eines Open Directory-Masters bzw. einer Open Directory-Replik konfiguriert werden. Wird eine Option hier ausgewählt, so kann sie nicht für einen Client deaktiviert werden. Weitere Informationen zum Konfigurieren dieser Optionen auf einem Client finden Sie im Abschnitt „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf Seite 170. Ändern des Speicherorts einer LDAP-Datenbank Mit dem Programm „Server-Admin“ können Sie den Speicherort der Datenbank auf der Festplatte angeben, in der Benutzereinträge und andere Informationen einer LDAP-Verzeichnis-Domain eines Open Directory-Masters bzw. einer Open Directory-Replik gespeichert werden. Die LDAP-Datenbank befindet sich im Normalfall auf dem Startvolume, kann aber auch auf einem anderen lokalen Volume definiert sein. Hinweis: Aus Sicherheitsgründen befinden sich Datenbanken mit Identifizierungsinformationen für Open Directory und Kerberos immer auf dem Startvolume, unabhängig vom Speicherort der LDAP-Datenbank. Gehen Sie wie folgt vor, um den Speicherort einer LDAP-Datenbank zu ändern: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open Directory-Master oder einem Open Directory-Replikserver her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „LDAP“. 5 Wählen Sie aus dem Einblendmenü „Konfigurieren“ die Option „LDAP-Einstellungen“ aus und geben Sie dann den Ordnerpfad an, an dem sich die LDAP-Datenbank befinden soll. Sie können einen Ordnerpfad in das Feld „Datenbank“ eingeben oder einen Speicherort auswählen, indem Sie auf „Wählen“ klicken und zu einem Speicherort Ihrer Wahl für den Ordner navigieren. 6 Klicken Sie auf „Sichern“. 220 Kapitel 9 Pflegen von Open Directory-Diensten Beschränken der Suchergebnisse für den LDAP-Dienst Mithilfe des Programms „Server-Admin“ können Sie einen Typ von DoS-Angriffen (Denial-of-Service) auf Mac OS X Server verhindern, indem Sie die Anzahl der Suchergebnisse beschränken, die von der gemeinsam genutzten LDAP-Verzeichnis-Domain des Servers zurückgegeben werden. Das Beschränken der Anzahl von Suchergebnissen hindert einen unbefugten Benutzer daran, den Server durch Senden mehrerer pauschaler LDAP-Suchanforderungen zu blockieren. Gehen Sie wie folgt vor, um LDAP-Suchergebnisse einzuschränken: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open Directory-Master oder einem Open Directory-Replikserver her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „LDAP“. 5 Wählen Sie aus dem Einblendmenü „Konfigurieren“ die Option „LDAP-Einstellungen“ aus. Geben Sie dann die maximale Anzahl zurückzugebender Suchergebnisse in das Feld „Höchstzahl Rückgabewerte ist __ Suchergebnisse“ ein. 6 Klicken Sie auf „Sichern“. Festlegen eines Zeitlimits für Suchvorgänge für den LDAP-Dienst Mithilfe des Programms „Server-Admin“ können Sie einen Typ von DoS-Angriffen (Denial-of-Service) auf Mac OS X Server verhindern, indem Sie für den Server ein Zeitlimit für einen Suchvorgang in der freigegebenen LDAP-Verzeichnis-Domain festlegen. Die Zeitbegrenzung für die Suche hindert einen unbefugten Benutzer daran, den Server durch Senden einer außergewöhnlich komplexen LDAP-Suchanforderung zu blockieren. Gehen Sie wie folgt vor, um ein Zeitlimit für Suchvorgänge für den LDAPDienst festzulegen: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open Directory-Master oder einem Open Directory-Replikserver her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „LDAP“. 5 Wählen Sie aus dem Einblendmenü „Konfigurieren“ die Option „LDAP-Einstellung“ aus. Geben Sie dann ein Zeitlimit im Feld „Suchzeitüberschreitung nach __“ ein. Legen Sie das Zeitlimit mithilfe des Einblendmenüs fest. 6 Klicken Sie auf „Sichern“. Kapitel 9 Pflegen von Open Directory-Diensten 221 Konfigurieren von SSL für den LDAP-Dienst Mithilfe des Programms „Server-Admin“ können Sie SSL (Secure Sockets Layer) für die verschlüsselte Kommunikation zwischen der LDAP-Verzeichnis-Domain eines Open Directory-Servers und Computern aktivieren, die darauf zugreifen. SSL stellt über ein digitales Zertifikat eine zertifizierte Identität für den Server bereit. Sie können ein selbstsigniertes Zertifikat oder ein von einer Zertifizierungsinstanz ausgestelltes Zertifikat verwenden. Umfassende Informationen zum Definieren, Abrufen und Installieren von Zertifikaten auf Ihrem Server finden Sie im Handbuch Mac OS X Server-Sicherheitskonfiguration. Die SSL-Kommunikation für LDAP verwendet Port 636. Wenn SSL für den LDAP-Dienst deaktiviert ist, erfolgt die Kommunikation in Form von unverschlüsseltem Text über Port 389. Gehen Sie wie folgt vor, um die SSL-Kommunikation für den LDAP-Dienst zu konfigurieren: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open Directory-Master oder einem Open Directory-Replikserver her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „LDAP“. 5 Wählen Sie aus dem Einblendmenü „Konfigurieren“ die Option „LDAP-Einstellungen“ aus und markieren Sie dann das Feld „SSL aktivieren“. 6 Wählen Sie aus dem Einblendmenü „Zertifikat“ ein SSL-Zertifikat aus, das der LDAPDienst verwenden soll. Im Menü werden alle auf dem Server installierten SSL-Zertifikate aufgeführt. Wenn Sie ein nicht aufgeführtes Zertifikat verwenden möchten, wählen Sie „Eigene Konfiguration“ aus dem Einblendmenü aus. 7 Klicken Sie auf „Sichern“. Erstellen einer angepassten SSL-Konfiguration für LDAP SSL stellt über ein digitales Zertifikat eine zertifizierte Identität für den Server bereit. Mithilfe angepasster digitaler Zertifikate können Sie SSL für Ihre Netzwerkumgebung konfigurieren. In den nachfolgenden Schritten werden die auf der Befehlszeile basierende Methode zum Erstellen angepasster Zertifikate beschrieben und Anleitungen zu deren Umsetzung in Server-Admin genannt. 222 Kapitel 9 Pflegen von Open Directory-Diensten Gehen Sie wie folgt vor, um ein Open Directory-Dienstzertifikat zu erstellen: 1 Generieren Sie einen privaten Schlüssel für den Server im Ordner „/usr/share/certs“: Ist der Ordner „/usr/share/certs“ nicht vorhanden, erstellen Sie ihn. $ sudo openssl genrsa -out ldapserver.key 2048 2 Generieren Sie eine CSR-Anfrage (CSR), die von der Zertifizierungsinstanz zu signieren ist: $ sudo openssl req -new -key ldapserver.key -out ldapserver.csr 3 Füllen Sie die folgenden Felder so vollständig wie möglich aus und vergewissern Sie sich, dass das Feld „Common Name“ (Allgemeiner Name) mit dem Domain-Namen des LDAP-Servers genau übereinstimmt. Die Felder für die Kennwortanforderung und den optionalem Firmennamen bleiben leer: Country Name: Organizational Unit: State or Province Name: Common Name: Locality Name (city): Email Address: Organization Name: 4 Signieren Sie die Anforderung „ldapserver.csr“ mit dem Befehl openssl. $ sudo openssl ca -in ldapserver.csr -out ldapserver.crt 5 Geben Sie bei Aufforderung das Kennwort der Zertifizierungsinstanz ein, um den Prozess fortzusetzen und abzuschließen. Die Zertifikatdateien, die für die Aktivierung von SSL auf dem LDAP-Server benötigt werden, befinden sich nun im Ordner „/usr/share/certs“. 6 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open Directory-Master oder einem Open Directory-Replikserver her. 7 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 8 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 9 Klicken Sie auf „Einstellungen“ und dann auf „LDAP“. 10 Wählen Sie aus dem Einblendmenü „Konfigurieren“ die Option „LDAP-Einstellungen“ aus. 11 Wählen Sie „SSL (Secure Sockets Layer) aktivieren“. 12 Wählen Sie aus dem Einblendmenü „Zertifikat“ ein SSL-Zertifikat aus, das der LDAPDienst verwenden soll. Im Menü werden alle auf dem Server installierten SSL-Zertifikate aufgeführt. Wenn Sie ein nicht aufgeführtes Zertifikat verwenden möchten, wählen Sie „Eigene Konfiguration“ aus dem Einblendmenü aus. 13 Klicken Sie auf „Sichern“. Kapitel 9 Pflegen von Open Directory-Diensten 223 Verwalten der Open Directory-Replikation Sie können einen Zeitplan für die Open Directory-Replikation festlegen oder nach Bedarf replizieren. Außerdem können Sie eine Replik in einen Master umwandeln oder eine Replik deaktivieren. Weitere Informationen hierzu finden Sie in folgenden Abschnitten: Â „Planen der Replikation eines Open Directory-Masters oder primären DomainControllers (PDC)“ auf Seite 224 Â „Synchronisieren einer Open Directory-Replik oder eines BDCs bei Bedarf“ auf Seite 225 Â „Umwandeln einer Open Directory-Replik in ein Relais“ auf Seite 226 Â „Umwandeln einer Open Directory-Replik in einen Master“ auf Seite 226 Â „Deaktivieren einer Open Directory-Replik“ auf Seite 229 Planen der Replikation eines Open Directory-Masters oder primären Domain-Controllers (PDC) Mit dem Programm „Server-Admin“ können Sie festlegen, wie häufig die Repliken eines Open Directory-Masters mit Änderungen an Verzeichnis- und Identifizierungsinformationen aktualisiert werden. Der Master kann die Repliken aktualisieren, wenn eine Änderung in der Master-Verzeichnis-Domain erfolgt oder indem ein von Ihnen festgelegter Zeitplan befolgt wird. Dieselben Schritte werden verwendet, wenn Sie Mac OS X Server als einen PDC konfigurieren. Sie legen den Zeitplan für die PDC-Replikation an den Backup-DomainController (BDC) fest, indem Sie die Open Directory-Replikation planen. Gehen Sie wie folgt vor, um zu planen, wie häufig die Repliken oder BDCs eines Open Directory-Masters oder PDCs aktualisiert werden: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open Directory-Master- oder PDC-Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 224 Kapitel 9 Pflegen von Open Directory-Diensten 5 Geben Sie eine Replikationsfrequenz an: Â An Clients replizieren: immer, wenn das Verzeichnis geändert wird: Aktualisiert Repliken mit Echtzeit-Änderungen, erhöht jedoch die Netzwerkauslastung. Hierdurch kann die Leistung des Masters beeinträchtigt werden, wenn eine Replik über eine langsame Netzwerkverbindung verbunden wird. Â An Clients replizieren: alle __: Ermöglicht die Planung weniger häufiger Aktualisierungen (durch Festlegen eines längeren Intervalls). Seltenere Aktualisierungen führen zu geringerer Genauigkeit der Repliken, erfordern dafür jedoch auch weniger Netzwerkverbindungen zwischen dem Master und seinen Repliken. Wenn sich Repliken nicht alle im selben LAN wie der Master befinden, sind weniger Netzwerkverbindungen u. U. wünschenswert. 6 Klicken Sie auf „Sichern“. Synchronisieren einer Open Directory-Replik oder eines BDCs bei Bedarf Obwohl ein Open Directory-Master oder PDC seine Verzeichnis- und Identifizierungsdaten mit registrierten Repliken oder BDCs synchronisiert, können Sie die Daten mithilfe von Server-Admin bei Bedarf mit einer ausgewählten Replik oder einem ausgewählten BDC synchronisieren. Gehen Sie wie folgt vor, um eine Open Directory-Replik oder einen BDC bei Bedarf zu synchronisieren: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open Directory-Master- oder PDC-Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 5 Wählen Sie eine Replik oder einen BDC in der Liste aus und klicken Sie dann auf „Jetzt replizieren“. Kapitel 9 Pflegen von Open Directory-Diensten 225 Umwandeln einer Open Directory-Replik in ein Relais Zwischen einem Relais und einer Replik besteht kein großer Unterschied. Beide verfügen über eine schreibgeschützte Kopie der LDAP-Verzeichnis-Domain des Open DirectoryMasters sowie über eine Kopie des Open Directory-Kennwortservers und des KerberosKDC (Key Distribution Center) mit Schreib- und Lesezugriff. Bei einem Relais handelt es sich um eine direkte Mitgliedsreplik eines Open DirectoryMasters mit Repliken, an die er repliziert. Sie können eine Open Directory-Replik in ein Relais umwandeln, indem Sie Folgendes sicherstellen: Â Bei der Replik muss es sich um eine direkte Replik des Open Directory-Masters handelt (erste Ebene). Â Die Replik muss über Repliken verfügen (Unterstützung für bis zu 32 Repliken). Weitere Informationen zu Relais finden Sie im Abschnitt „Kaskadierende Replikation“ auf Seite 74. Umwandeln einer Open Directory-Replik in einen Master Wenn ein Open Directory-Master ausfällt und sich auch aus einer Sicherungskopie nicht wiederherstellen lässt, können Sie eine Replik in einen Master umwandeln. Der neue Master (umgewandelte Replik) verwendet die Verzeichnis- und Identifizierungsdatenbanken der Replik. Anschließend müssen Sie alle anderen Repliken des alten Masters in eigenständige Verzeichnisdienste und dann in Repliken des neuen Masters umwandeln. Wichtig: Verwenden Sie diese Vorgehensweise nur, um einen Open Directory-Master durch seine Replik zu ersetzen. Wenn der Open Directory-Master weiter verwendet und dessen Replik in einen weiteren Master umgewandelt werden soll, verwenden Sie diese Schritte nicht. Deaktivieren Sie stattdessen die Replik und wandeln Sie sie in einen Master um, wie in den folgenden Abschnitten beschrieben: „Deaktivieren einer Open DirectoryReplik“ auf Seite 229 und „Konfigurieren eines Open Directory-Masters“ auf Seite 95. Gehen Sie wie folgt vor, um eine Open Directory-Replik umzuwandeln: 1 Öffnen Sie das Programm „Server-Admin“ stellen Sie eine Verbindung zu dem Replikserver her, den Sie in einen Master umwandeln möchten. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 226 Kapitel 9 Pflegen von Open Directory-Diensten 5 Klicken Sie auf „Ändern“. Damit wird der Konfigurationsassistent für Dienste geöffnet. 6 Wählen Sie „Open Directory-Master“ aus und klicken Sie auf „Fortfahren“. 7 Geben Sie die folgenden Informationen des Master-Domain-Administrators ein und klicken Sie auf „Fortfahren“. Â Name, Kurzname, Benutzer-ID, Kennwort: Sie müssen einen Benutzer-Account für den primären Administrator des LDAP-Verzeichnisses erstellen. Bei diesem Account handelt es sich nicht um eine Kopie des Administrator-Accounts in der lokalen Verzeichnis-Domain des Servers. Wählen Sie für den LDAP-Verzeichnisadministrator einen anderen Namen und eine andere Benutzer-ID als für die Benutzer-Accounts in der lokalen Verzeichnis-Domain. Hinweis: Wenn Sie Ihren Open Directory-Master mit anderen Verzeichnis-Domains verbinden möchten, wählen Sie für jede Domain einen eindeutigen Namen und eine eindeutige Benutzer-ID. Verwenden Sie nicht die vorgegebene Benutzer-ID diradmin. Verwenden Sie einen Namen, der Aufschluss über die Verzeichnis-Domain gibt, die der Verzeichnisadministrator steuert. 8 Geben Sie die folgenden Informationen der Master-Domain ein und klicken Sie auf „Fortfahren“. Â Kerberos-Realm: Dieses Feld entspricht aufgrund der Voreinstellung dem DNSNamen des Servers in Großbuchstaben. Hierbei handelt es sich um die Konvention bei der Benennung eines Kerberos-Realms. Sie können falls erforderlich einen anderen Namen eingeben. Â Suchbeginn: Dieses Feld ist auf ein Suchbeginn-Suffix für das neue LDAP-Verzeichnis eingestellt, das vom Domain-Teil des DNS-Namens des Servers abgeleitet wird. Sie können ein anderes Suchbeginn-Suffix eingeben oder dieses Feld leer lassen. Wenn Sie dieses Feld leer lassen, wird das standardmäßige Suchbeginn-Suffix des LDAP-Verzeichnisses verwendet. 9 Bestätigen Sie die Einstellungen und klicken Sie dann auf „Schließen“. Damit werden Ihre Einstellungen gesichert und der Dienst neu gestartet. 10 Stellen Sie im Programm „Server-Admin“ eine Verbindung zu einer anderen Replik des früheren Masters her. 11 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 12 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 13 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. Kapitel 9 Pflegen von Open Directory-Diensten 227 14 Klicken Sie auf „Ändern“. Der Konfigurationsassistent für Dienste wird geöffnet. 15 Wählen Sie „Eigenständiger Server“ und klicken Sie dann auf „Fortfahren“. 16 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie dann auf „Fortfahren“. 17 Wenn Sie sicher sind, dass Benutzer und Dienste keinen Zugriff auf die Verzeichnisdaten mehr benötigen, die in der gemeinsam genutzten Domain gespeichert sind, die der Server bereitgestellt hat oder mit der er verbunden war, klicken Sie auf „Schließen“. Damit werden Ihre Einstellungen gesichert und der Dienst neu gestartet. 18 Klicken Sie auf „Ändern“. Der Konfigurationsassistent für Dienste wird geöffnet. 19 Wählen Sie „Open Directory-Replik“ aus und klicken Sie auf „Fortfahren“. 20 Geben Sie die folgenden Informationen ein: Â IP-Adresse oder DNS des Open Directory-Masters: Geben Sie die IP-Adresse oder den DNS-Namen des Servers ein, der als Open Directory-Master fungiert. Â „root“-Kennwort des Open Directory-Masters: Geben Sie das Kennwort des root-Benutzers des Open Directory-Mastersystems ein (Benutzername des Systemadministrators). Â Domain-Administratorkurzname: Geben Sie den Namen eines AdministratorAccounts einer LDAP-Verzeichnis-Domain ein. Â Domain-Administratorkennwort: Geben Sie das Kennwort des AdministratorAccount ein, dessen Namen Sie angegeben haben. 21 Klicken Sie auf „Fortfahren“. 22 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie dann auf „Fortfahren“. 23 Klicken Sie auf „Schließen“. Damit werden Ihre Einstellungen gesichert und der Dienst neu gestartet. 24 Wiederholen Sie die Schritte 14 – 23 für jede Replik des früheren Masters. 25 Vergewissern Sie sich, dass Datum, Uhrzeit und Zeitzone auf den Repliken und dem Master richtig sind. Die Repliken und der Master sollten denselben Time-Server verwenden, sodass ihre Systemuhren synchron bleiben. Waren andere Computer mit dem LDAP-Verzeichnis des früheren Open DirectoryMasters verbunden, konfigurieren Sie deren Verbindungen erneut für die Verwendung des LDAP-Verzeichnisses des neuen Masters. 228 Kapitel 9 Pflegen von Open Directory-Diensten Jeder Mac OS X- und Mac OS X Server-Computer mit einem angepassten Suchpfad, der das LDAP-Verzeichnis des alten Masters enthielt, muss für die Verbindung mit dem LDAP-Verzeichnis des neuen Masters neu konfiguriert werden. Verwenden Sie dazu die Bereiche „Dienste“ und „Identifizierung“ des Programms „Verzeichnisdienste“. Weitere Informationen finden Sie in den Abschnitten „Löschen einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis“ auf Seite 168 und „Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 158. Wenn der DHCP-Dienst die LDAP-URL-Adresse des alten Masters Computern mit automatischen Suchpfaden bereitstellte, konfigurieren Sie den DHCP-Dienst für die Bereitstellung der LDAP-URL-Adresse des neuen Masters. Mac OS X- und Mac OS X Server-Computer mit automatischen Suchpfaden erfordern keine erneute Konfiguration. Sie erhalten die korrekte LDAP-URL-Adresse vom aktualisierten DHCP-Dienst, wenn sie das nächste Mal gestartet werden. Weitere Informationen hierzu finden Sie im Kapitel zu DHCP des Handbuchs Netzwerkdienste – Administration. Deaktivieren einer Open Directory-Replik Sie können einen Open Directory-Replikserver außer Betrieb nehmen, indem Sie ihn in einen eigenständigen Server umwandeln oder für Verzeichnis- und Identifizierungsdienste mit einem anderen System verbinden. Gehen Sie wie folgt vor, um eine Open Directory-Replik zu deaktivieren: 1 Überprüfen Sie, ob die Netzwerkverbindung zwischen dem Open Directory-Master und der zu deaktivierenden Replik funktioniert. Port 389 oder 636 muss zwischen Master und Replik geöffnet sein, während die Replik deaktiviert wird. LDAP verwendet Port 389, wenn SSL deaktiviert ist, bzw. Port 636, wenn SSL auf dem Master aktiviert ist. (Port 22, der für SSH verwendet wird, braucht nicht geöffnet zu sein, wenn eine Replik deaktiviert wird.) Wichtig: Wenn Sie eine Replik deaktivieren, während keine Netzwerkverbindung zwischen der Replik und dem Master besteht, verbleibt die deaktivierte Replik in der Replikliste des Masters. Der Master versucht, so an die deaktivierte Replik zu replizieren, wie im Bereich „Allgemein“ für den Open Directory-Dienst auf dem Master-Server angegeben. 2 Stellen Sie im Programm „Server-Admin“ eine Verbindung zu der zu deaktivierenden Replik her. 3 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 4 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 5 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. Kapitel 9 Pflegen von Open Directory-Diensten 229 6 Klicken Sie auf „Ändern“. Der Konfigurationsassistent für Dienste wird geöffnet. 7 Wählen Sie „Eigenständiger Server“ oder „Verbunden mit einem Verzeichnissystem“ und geben Sie die folgenden Informationen ein. Â „root“-Kennwort des Open Directory-Masters: Geben Sie das Kennwort des root-Benutzers des Open Directory-Mastersystems ein (Benutzername des Systemadministrators). Â Domain-Administratorkurzname: Geben Sie den Namen eines AdministratorAccounts einer LDAP-Verzeichnis-Domain ein. Â Domain-Administratorkennwort: Geben Sie das Kennwort des AdministratorAccount ein, dessen Namen Sie angegeben haben. 8 Klicken Sie auf „Fortfahren“. 9 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie dann auf „Fortfahren“. 10 Wenn Sie sicher sind, dass Benutzer und Dienste keinen Zugriff auf die Verzeichnisdaten mehr benötigen, die in der gemeinsam genutzten Domain gespeichert sind, die der Server bereitgestellt hat oder mit der er verbunden war, klicken Sie auf „Schließen“. Damit werden Ihre Einstellungen gesichert und der Dienst wird neu gestartet. Der Master wird so aktualisiert, dass er keine Verbindung zur Replik mehr herstellt, vorausgesetzt, zwischen dem Open Directory-Master und der Replik besteht eine Netzwerkverbindung. 11 Wenn Sie „Verbunden mit einem Verzeichnissystem“ aus dem Einblendmenü „Funktion“ ausgewählt haben, klicken Sie auf die Taste „Verzeichnisdienste öffnen“, um den Zugriff auf eines oder mehrere Verzeichnissysteme zu konfigurieren. Weitere Informationen zum Konfigurieren des Zugriffs auf einen Verzeichnisdienst finden Sie in Kapitel 7 „Verwalten von Verzeichnis-Clients“. Archivieren eines Open Directory-Masters Mithilfe des Programms „Server-Admin“ können Sie eine Kopie des Verzeichnisses eines Open Directory-Masters und der Identifizierungsdaten archivieren. Sie können eine Kopie dieser Daten archivieren, während der Open Directory-Master verwendet wird. Die folgenden Dateien werden archiviert: Â LDAP-Verzeichnisdatenbank und -Konfigurationsdateien Â Datenbank des Open Directory-Kennwortservers Â Kerberos-Datenbank und -Konfigurationsdateien Â Lokale Verzeichnis-Domain und „Shadow“-Kennwortdatenbank 230 Kapitel 9 Pflegen von Open Directory-Diensten Wenn Sie ein verlässliches Archiv eines Open Directory-Masters besitzen, haben Sie tatsächlich ein Archiv aller seiner Repliken. Tritt bei einer Replik ein Problem auf, können Sie deren Open Directory-Funktion in einen eigenständigen Server ändern und den Server dann als neuen Server mit einem neuen Hostnamen konfigurieren und als Replik desselben Masters wie zuvor definieren. Wichtig: Schützen Sie die Archivmedien, die eine Kopie der Open Directory-Kennwortdatenbank, der Kerberos-Datenbank und der Kerberos-Datei „keytab“ enthalten. Das Archiv enthält Kennwörter aller Benutzer, die über ein Open Directory-Kennwort verfügen, sowohl in der gemeinsam genutzten LDAP-Verzeichnis-Domain als auch in der lokalen Verzeichnis-Domain. Ihre Sicherheitsvorkehrungen für die Archivmedien sollten ebenso umfassend sein wie für den Open Directory-Master-Server. Gehen Sie wie folgt vor, um einen Open Directory-Master zu archivieren: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open Directory-Master-Server her. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Archivieren“. 5 Geben Sie in das Feld „Archivieren in“ den Pfad zu dem Ordner ein, in dem die Open Directory-Daten archiviert werden sollen, und klicken Sie dann auf die Taste „Archivieren“. Sie können den Ordnerpfad eingeben oder auf „Wählen“ klicken, um ihn auszuwählen. 6 Geben Sie einen Namen und ein Kennwort ein, das zur Verschlüsselung des Archivs verwendet werden soll, und klicken Sie auf „OK“. Wiederherstellen eines Open Directory-Masters Mit dem Programm „Server-Admin“ oder dem Befehlszeilenprogramm slapconfig können Sie die Verzeichnis- und Identifizierungsdaten eines Open Directory-Masters aus dem Archiv wiederherstellen. Wenn Sie das Programm „Server-Admin“ verwenden, können Sie die Daten auf einem Server wiederherstellen, der als Open Directory-Master dient. Die folgenden Dateien werden durch Mischen der Daten aus dem Archiv mit denen des existierenden Masters wiederhergestellt: Â LDAP-Verzeichnisdatenbank und -Konfigurationsdateien Â Datenbank des Open Directory-Kennwortservers Â Kerberos-Datenbank und -Konfigurationsdateien Kapitel 9 Pflegen von Open Directory-Diensten 231 Wenn beim Zusammenführen Konflikte auftreten, haben die vorhandenen Datensätze Vorrang vor den Datensätzen im Archiv. Der Archiveintrag wird ignoriert. Konflikte werden in der Protokolldatei (/Library/Logs/slapconfig.log) aufgezeichnet, die Sie mit dem Programm „Server-Admin“ anzeigen können. Weitere diesbezügliche Informationen finden Sie im Abschnitt „Anzeigen von Open Directory-Status und -Protokollen“ auf Seite 210. Wichtig: Wenn Sie ein Archiv eines Open Directory-Servers mit Mac OS X 10.4 haben, können Sie es nur auf einem Mac OS X 10.5-Server wiederherstellen. Sie haben nicht die Möglichkeit, ein Mac OS X 10.4-Archiv mit einem Open Directory-Server mit Mac OS X 10.5 zusammenzuführen. Anstatt einen Open Directory-Master aus einem Archiv wiederherzustellen, können Sie auch eine Replik in einen Master umwandeln. Mit diesem Vorgehen erzielen Sie unter Umständen bessere Ergebnisse. Die Replik verfügt in manchen Fällen über aktuellere Verzeichnis- und Identifizierungsdaten als das Archiv. Nach der Wiederherstellung eines Open Directory-Masters aus einem Archiv müssen Sie Ihre Open Directory-Repliken neu erstellen. Wichtig: Das Wiederherstellen eines Archivs sollte nicht dazu verwendet werden, Verzeichnis- und Identifizierungsdaten von einem System auf ein anderes zu portieren. Exportieren Sie die Daten stattdessen aus dem Quellenverzeichnis und importieren Sie sie in das Zielverzeichnis. Weitere Informationen zum Exportieren und Importieren von Verzeichnisdaten finden Sie im Handbuch Benutzerverwaltung. Gehen Sie wie folgt vor, um ein Archiv mit einem vorhandenen Open DirectoryMaster zu mischen: 1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open Directory-Master-Server her. Der Zielserver muss denselben Kerberos-Realm-Namen besitzen wie der Master, aus dem das Archiv erstellt wurde. 2 Klicken Sie auf das Dreiecksymbol links neben dem Server. Daraufhin wird die Liste der Dienste angezeigt. 3 Wählen Sie „Open Directory“ in der Liste der Dienste aus. 4 Klicken Sie auf „Archivieren“. 232 Kapitel 9 Pflegen von Open Directory-Diensten 5 Geben Sie in das Feld „Wiederherstellen von“ den Pfad zur Open Directory-Archivdatei ein und klicken Sie dann auf die Taste „Wiederherstellen“. Sie können den Ordnerpfad eingeben oder auf „Wählen“ klicken, um die Archivdatei auszuwählen. 6 Geben Sie das Kennwort ein, das beim Erstellen des Archivs für dessen Verschlüsselung verwendet wurde, und klicken Sie auf „OK“. 7 Nachdem die Wiederherstellung abgeschlossen ist, überprüfen Sie das slapconfigProtokoll auf Informationen zu Konflikten oder anderen Ereignissen, die bei der Wiederherstellung auftraten. 8 Wandeln Sie vorhandene Open Directory-Replikserver in eigenständige Open DirectoryServer um und definieren Sie sie dann als Repliken des neuen Masters. Weitere Informationen finden Sie in den Abschnitten „Konfigurieren eines eigenständigen Verzeichnisdiensts“ auf Seite 94 und „Konfigurieren einer Open Directory-Replik“ auf Seite 102. Verwenden der Befehlszeile Anstelle einer Wiederherstellung auf einem als Open Directory-Master dienenden Server können Sie Daten auch auf einem eigenständigen Server wiederherstellen. Hierzu verwenden Sie das Befehlszeilenprogramm slapconfig. Der Server wird als Open Directory-Master mit den Daten für Verzeichnisse und Identifikationsüberprüfung aus dem Archiv eingerichtet. Zu den wiederhergestellten Daten zählen die oben genannten LDAP-, Kerberos- und Kennwortserverdateien sowie die lokale Verzeichnis-Domain und zugeordnete Kennwortdateien. Außerdem behält slapconfig den lokalen Benutzer-Account bei, den Sie im Anmeldefenster verwendet haben. Nach der Wiederherstellung enthält der Master die Datensätze der Benutzer-Accounts aus dem Archiv sowie des Accounts, den Sie im Anmeldefenster verwendet haben. Wenn das Archiv einen Benutzer-Account enthält, der in Konflikt mit dem Account steht, den Sie im Anmeldefenster verwendet haben, wird der Account aus dem Archiv ignoriert. ACHTUNG: Wenn Sie einen eigenständigen Server wiederherstellen, werden die zuvor vorhandenen Verzeichniseinträge und Identifizierungsdaten nicht beibehalten, mit Ausnahme des im Anmeldefensters verwendeten Benutzer-Accounts. Kapitel 9 Pflegen von Open Directory-Diensten 233 Möchten Sie die Verzeichnis- und Identifizierungsdaten auf einem eigenständigen Server mit Daten aus einem Open Directory-Archiv ersetzen, geben Sie den folgenden Befehl im Programm „Terminal“ ein und ersetzen Sie dabei archiv-pfad durch den Pfad zur Archivdatei: $ sudo slapconfig -restoredb archiv-pfad Für den Befehl slapconfig sind root-Zugriffsrechte erforderlich, daher wird in dieser Befehlszeile der Befehl sudo verwendet. Weitere Informationen zum Befehl slapconfig finden Sie auf der zugehörigen man-Seite. Weitere Informationen zum Befehl sudo und zu root-Zugriffsrechten finden Sie im Handbuch Command-Line Administration. 234 Kapitel 9 Pflegen von Open Directory-Diensten 10 Fehlerbeseitigung 10 Dieses Kapitel bietet Lösungen für allgemeine Probleme, die beim Arbeiten mit Open Directory auftreten können. Dieser Abschnitt enthält Lösungen für allgemeine Probleme mit Open Directory. Fehlerbeseitigung bei Open Directory-Master und -Repliken Verwenden Sie die folgenden Informationen, um Probleme mit dem Open DirectoryMaster bzw. mit einer Open Directory-Replik zu beheben. Kerberos ist auf einem Open Directory-Master oder einer Replik gestoppt Ein Open Directory-Master erfordert einen korrekt konfigurierten DNS-Dienst, damit er die Kerberos-Gesamtauthentifizierung bereitstellen kann. Gehen Sie wie folgt vor, um festzustellen, ob der DNS-Dienst für Kerberos korrekt konfiguriert ist: 1 Stellen Sie sicher, dass der DNS-Dienst so konfiguriert ist, dass er vollständig qualifizierte DNS-Namen auflöst und entsprechende RLU-Einträge (Reverse Lookup) bereitstellt. Der DNS-Dienst muss vollständig qualifizierte DNS-Namen auflösen und die RLU-Auflösung für den Open Directory-Master-Server, für Replikserver und andere Server bereitstellen, die Mitglieder des Kerberos-Realms sind. Wenn Sie einen DNS-Lookup für den DNS-Namen eines Servers und eine RLU-Auflösung für die IP-Adresse eines Servers ausführen wollen, können Sie den Bereich „Lookup“ des Netzwerkdienstprogramms verwenden (im Verzeichnis „/Programme/Dienstprogramme“). Weitere Informationen zum Konfigurieren des DNS-Diensts finden Sie im Handbuch Netzwerkdienste – Administration. 2 Vergewissern Sie sich, dass der Hostname des Open Directory-Master-Servers der korrekte vollständig qualifizierte DNS-Name ist und nicht der lokale Hostname des Servers. Der Hostname darf beispielsweise „ods.example.com“ lauten, aber nicht „ods.local“. 235 Sie können den Hostnamen anzeigen, indem Sie das Programm „Terminal“ öffnen und hostname eingeben. Wenn der Hostname des Open Directory-Servers nicht der vollständig qualifizierte DNS-Name ist, löschen Sie die Liste der DNS-Server vorübergehend und klicken Sie in der Systemeinstellung „Netzwerk“ des Open Directory-Servers auf „Anwenden“. Geben Sie dann die IP-Adresse mindestens eines DNS-Servers erneut ein, beginnend mit dem primären DNS-Server, der den Namen des Open Directory-Servers auflöst, und klicken Sie in der Systemeinstellung „Netzwerk“ auf „Anwenden“. Ist der Hostname des Open Directory-Servers noch immer nicht der vollständig qualifizierte DNS-Name, starten Sie den Server neu. 3 Stellen Sie sicher, dass die Systemeinstellung „Netzwerk“ des Open DirectoryMaster-Servers für die Verwendung des DNS-Servers konfiguriert ist, der den Servernamen auflöst. Wenn der Open Directory-Master-Server seinen eigenen DNS-Dienst bereitstellt, müssen die Netzwerkeinstellungen des Servers so konfiguriert sein, dass sie den Server selbst als DNS-Server verwenden. 4 Prüfen Sie, ob die DNS-Konfiguration für den Server korrekt ist, und starten Sie dann Kerberos. Weitere Informationen finden Sie im Abschnitt „Starten von Kerberos nach der Konfiguration eines Open Directory-Masters“ auf Seite 114. Das Erstellen einer Open Directory-Replik ist nicht möglich Wenn Sie versuchen, zwei Replikate gleichzeitig zu erstellen, wird der erste Replikationsversuch gelingen, der zweite schlägt dagegen fehl. Ein anschließender Versuch, das zweite Replikat zu erzeugen, sollte dann wieder gelingen. Wenn Sie das zweite Replikat weiterhin nicht erstellen können, öffnen Sie den Ordner „/var/run“, suchen Sie die Datei „slapconfig.lock“ und löschen Sie sie gegebenenfalls. Alternativ führen Sie einen Neustart des Servers aus. Das Erstellen eines Open Directory-Masters oder einer Replik aus einer Konfigurationsdatei ist nicht möglich Es ist nicht möglich, Mac OS X Server in einen Open Directory-Master oder eine Open Directory-Replik zu verwandeln, indem Sie eine Eigenschaftslistendatei in den Bereich „Einstellungen“ von Open Directory im Programm „Server-Admin“ bewegen. Befolgen Sie stattdessen die Anleitungen in den Abschnitten „Konfigurieren eines Open DirectoryMasters“ auf Seite 95 oder „Konfigurieren einer Open Directory-Replik“ auf Seite 102. Sie erstellen eine Eigenschaftslistendatei durch Bewegen des Miniaturfensters aus der unteren rechten Ecke des Bereichs „Einstellungen“ im Programm „Server-Admin“. 236 Kapitel 10 Fehlerbeseitigung Eine Replik lässt sich nicht mit einem Relais verbinden Vergewissern Sie sich, dass die Kapazität von 32 Repliken für Ihre Replik noch nicht ausgeschöpft ist. Stellen Sie außerdem sicher, dass Sie nicht zu einer Replik der zweiten Stufe eine Verbindung herzustellen versuchen, sondern zu einem Relais der ersten Stufe. Das Hinzufügen einer Open Directory-Replik zu einem Open Directory-Server, der einem Active Directory-Server untergeordnet ist, ist nicht möglich Vor dem Versuch, den Server in eine Replik des untergeordneten Open Directory-Servers umzuwandeln, müssen Sie sicherstellen, dass Sie den Server zuerst mit demselben Active Directory-Server verbinden wie den Open Directory-Master-Server, zu dem Sie eine Verbindung herstellen wollen. Ihre Repliken müssen Zugriff auf den Active Directory-Server haben, damit Kerberos funktioniert. Beseitigen von Problemen mit Verzeichnisverbindungen Probleme beim Zugriff auf Verzeichnisdienste beim Starten des Computers können mehrere Ursachen haben. Beim Start kommt es zu Verzögerungen Wenn es beim Starten von Mac OS X oder Mac OS X Server zu einer Verzögerung kommt, während eine Nachricht zu LDAP- oder Verzeichnisdiensten über der Statusleiste angezeigt wird, dann versucht der Computer möglicherweise auf ein LDAPVerzeichnis zuzugreifen, das in Ihrem Netzwerk nicht verfügbar ist. Berücksichtigen Sie die folgenden Aspekte: Â Es ist normal, dass es zu einer Verzögerung beim Starten des Computers kommt, wenn ein Mobilcomputer nicht mit dem Netzwerk verbunden ist, mit dem der LDAP-Server verbunden ist. Â Stellen Sie mithilfe des Programms „Verzeichnisdienste“ sicher, dass die VerzeichnisDomain-Konfiguration und die LDAP-Konfiguration korrekt sind. Â Verwenden Sie die Systemeinstellung „Netzwerk“, um sich zu vergewissern, dass die Netzwerkumgebung des Computers und andere Netzwerkeinstellungen richtig konfiguriert sind. Â Überprüfen Sie die physische Netzwerkverbindung auf Fehler. Kapitel 10 Fehlerbeseitigung 237 Fehlerbeseitigung bei der Identifizierung Verwenden Sie die folgenden Informationen, um Probleme bei der Identifizierung zu lösen. Das Open Directory-Kennwort eines Benutzers lässt sich nicht ändern Damit Sie das Kennwort eines Benutzers mit dem Kennworttyp „Open Directory“ ändern können, müssen Sie Administrator der Verzeichnis-Domain sein, in der sich der Benutzereintrag befindet. Zusätzlich muss auch Ihr Benutzer-Account den Kennworttyp „Open Directory“ aufweisen. Der Benutzer-Account, der beim Konfigurieren des Open Directory-Masters definiert wurde (mithilfe des Serverassistenten oder der Einstellungen für den Open DirectoryDienst im Programm „Server-Admin“), besitzt normalerweise ein Open Directory-Kennwort. Mithilfe dieses Accounts können Sie weitere Accounts als Verzeichnis-DomainAdministrator-Accounts mit Open Directory-Kennwörtern konfigurieren. Wenn alle anderen Maßnahmen fehlschlagen, verwenden Sie den root-BenutzerAccount, um einen Benutzer-Account als Verzeichnisadministrator-Account mit einem Open Directory-Kennwort zu konfigurieren. (Der Name des root-Benutzer-Accounts ist „root“ und das Kennwort entspricht gewöhnlich dem Kennwort, das dem Administrator-Account während der Serverkonfiguration zugewiesen wurde.) Ein Benutzer kann auf bestimmte Dienste nicht zugreifen Wenn ein Benutzer auf bestimmte Dienste zugreifen kann, die eine Identifizierung erfordern, auf andere aber nicht, müssen Sie das Kennwort des Benutzers vorübergehend in eine einfache Zeichenfolge ändern, etwa „Kennwort“. Lässt sich das Problem auf diese Weise lösen, enthielt das bisherige Kennwort des Benutzers Zeichen, die nicht von allen Diensten erkannt werden konnten. Beispielsweise akzeptieren einige Dienste Leerzeichen innerhalb von Kennwörter, andere nicht. Ein Benutzer kann sich nicht für den VPN-Dienst identifizieren Benutzer, deren Accounts auf einem Server mit Mac OS X Server 10.2 gespeichert sind, können Sie nicht für einen VPN-Dienst identifizieren, der von Mac OS X Server 10.3 bis 10.5 bereitgestellt wird. Der VPN-Dienst erfordert die Identifizierungsmethode „MSCHAPv2“, die von Mac OS X Server 10.2 nicht unterstützt wird. Damit betroffene Benutzer sich anmelden können, müssen Sie ihre Account auf einen Server mit Mac OS X Server 10.3 bis 10.5 bewegen. Alternativ können Sie den alten Server auf Mac OS X Server 10.5 (oder neuer) aktualisieren. 238 Kapitel 10 Fehlerbeseitigung Der Kennworttyp eines Benutzers kann nicht in „Open Directory“ geändert werden Damit Sie den Kennworttyp eines Benutzers in „Open Directory“ ändern können, müssen Sie Administrator der Verzeichnis-Domain sein, in der sich der Benutzereintrag befindet. Außerdem muss Ihr Benutzer-Account für die Open Directory-Identifizierung konfiguriert sein. Der Benutzer-Account, der bei Konfigurieren des Open Directory-Masters definiert wurde (mithilfe des Serverassistenten oder der Einstellungen für den Open DirectoryDienst im Programm „Server-Admin“), besitzt ein Open Directory-Kennwort. Mithilfe dieses Accounts können Sie weitere Accounts als Verzeichnis-Domain-AdministratorAccounts mit Open Directory-Kennwörtern konfigurieren. Benutzer, die einen Kennwortserver verwenden, können sich nicht anmelden Wenn Ihr Netzwerk einen Server mit Mac OS X Server 10.2 enthält, kann der Server so konfiguriert werden, dass er die Identifizierung von einem Open Directory-Kennwortserver abruft, der von einem anderen Server bereitgestellt wird. Wird der Kennwortserver von Ihrem Netzwerk getrennt, weil beispielsweise das Kabel vom Ethernetanschluss des Computers abgezogen wird, können Benutzer, deren Kennwörter über den Kennwortserver geprüft werden, sich nicht anmelden, weil die IP-Adresse nicht zugänglich ist. Die Benutzer können sich wieder bei Mac OS X Server anmelden, wenn Sie den Kennwortserver erneut mit dem Netzwerk verbinden. Alternativ können sich Benutzer bei einer Trennung vom Kennwortserver über Benutzer-Accounts anmelden, die den Kennworttyp „Crypt“ oder „Shadow“ aufweisen. Benutzer mit Accounts in einer freigegebenen Verzeichnis-Domain können sich nicht anmelden Benutzer mit Accounts in einer gemeinsam verwendeten Verzeichnis-Domain können sich nicht anmelden, wenn kein Zugriff auf den Server möglich ist, der das Verzeichnis bereitstellt. Der Zugriff auf einen Server kann z. B. aufgrund von Problemen mit dem Netzwerk, der Serversoftware oder der Serverhardware unmöglich sein. Kapitel 10 Fehlerbeseitigung 239 Probleme mit der Serverhardware oder -software betreffen Benutzer, die versuchen, sich bei Mac OS X-Computern oder bei der Windows-Domain eines Mac OS X ServerPDC anzumelden. Netzwerkprobleme wirken sich auf einige, aber nicht notwendigerweise alle Benutzer aus. Entscheidend ist, wo das Netzwerkproblem auftritt. Benutzer mit mobilen Benutzer-Accounts können sich weiterhin an zuvor verwendeten Mac OS X-Computern anmelden. Benutzer, die von diesen Problemen betroffen sind, können sich mithilfe eines auf dem Computer definierten lokalen BenutzerAccounts anmelden, wie z. B. des Benutzer-Accounts, der während der Konfiguration nach der Mac OS X-Installation erstellt wurde. Das Anmelden als Active Directory-Benutzer ist nicht möglich Wenn Sie eine Verbindung zu einer Active Directory-Domain im Bereich „Dienste“ des Programms „Verzeichnisdienste“ konfiguriert und einem angepassten Suchpfad unter „Suchpfad“ > „Identifizierung“ hinzugefügt haben, sollten Sie 10 bis 15 Sekunden warten, damit die Änderung wirksam wird. Sofortige Versuche einer Anmeldung mit einem Active Directory-Account schlagen fehl. Benutzer können sich nicht mit der Kerberos-Identifizierung für die Gesamtauthentifizierung identifizieren Treten bei einem Benutzer oder einem Server, der mit Kerberos arbeitet, Probleme beim Anmelden auf, sollten Sie folgendes Vorgehen ausprobieren: Â Die Kerberos-Identifizierung basiert auf verschlüsselten Zeitmarken. Wenn es einen mehr als 5-minütigen Unterschied zwischen KDC-, Client- und Servercomputern gibt, kann die Identifizierung fehlschlagen. Stellen Sie sicher, dass die Uhren aller Computer synchron sind, indem Sie den NTP-Dienst (Network Time Protocol) von Mac OS X Server oder einen anderen Netzwerk-Zeitserver verwenden. Weitere Informationen zum NTP-Dienst von Mac OS X Server finden Sie im Handbuch Netzwerkdienste – Administration. Â Stellen Sie sicher, dass Kerberos auf dem Open Directory-Master und den Repliken aktiv ist. Weitere Informationen finden Sie im Abschnitt „Kerberos ist auf einem Open Directory-Master oder einer Replik gestoppt“ auf Seite 235. Â Steht ein für die Kennwortauswertung verwendeter Kerberos-Server nicht zur Verfügung, müssen Sie das Benutzerkennwort für die Verwendung mit einem verfügbaren Server zurücksetzen. Â Stellen Sie sicher, dass der Server, der den kerberisierten Dienst bereitstellt, Zugriff auf die Verzeichnis-Domain des Kerberos-Servers hat und dass diese VerzeichnisDomain die Accounts für Benutzer enthält, die sich über Kerberos zu identifizieren versuchen. Weitere Informationen über das Konfigurieren des Zugriffs auf Verzeichnis-Domains finden Sie in Kapitel 7 „Verwalten von Verzeichnis-Clients“. 240 Kapitel 10 Fehlerbeseitigung Â Stellen Sie für den Kerberos-Realm des Open Directory-Servers sicher, dass der ClientComputer dafür konfiguriert ist, mithilfe des korrekten Suchbeginnsuffixes auf das LDAP-Verzeichnis des Open Directory-Servers zuzugreifen. Die Einstellung für das LDAPv3-Suchbeginnsuffix des Clients muss mit der Einstellung für den Suchbeginn des LDAP-Verzeichnisses übereinstimmen. Das LDAPv3-Suchbeginnsuffix kann leer sein, wenn es seine LDAP-Zuordnungen vom Server erhält. In diesem Fall verwendet der Client das standardmäßige Suchbeginnsuffix des LDAP-Verzeichnisses. Â Wenn Sie die Einstellung für das Suchbeginnsuffix des Clients überprüfen wollen, öffnen Sie das Programm „Verzeichnisdienste“, zeigen die Liste der LDAPv3-Konfigurationen an und wählen das bereits markierte Objekt aus dem Einblendmenü „LDAP-Pfade“ aus. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis“ auf Seite 164. Â Wenn Sie die Einstellung für den Suchbereich des LDAP-Verzeichnisses überprüfen wollen, öffnen Sie das Programm „Server-Admin“ und sehen Sie im Bereich „Protokolle“ im Dienst „Open Directory“ nach. Â Weitere Informationen, die Sie bei der Fehlerbeseitigung unterstützen können, finden Sie im KDC-Protokoll. Weitere diesbezügliche Informationen finden Sie im Abschnitt „Anzeigen von Open Directory-Status und -Protokollen“ auf Seite 210. Â Wenn Kerberos nicht aktiv war, als Benutzereinträge aus einer älteren Mac OS X-Version erstellt, importiert oder aktualisiert wurden, sind diese Einträge für die KerberosIdentifizierung möglicherweise nicht aktiviert: Â Ein Eintrag ist für Kerberos nicht aktiviert, wenn dem zugehörigen Attribut für die Identifizierungsberechtigung der Wert „;Kerberosv5;“ fehlt. Im Fenster „Detailansicht“ im Arbeitsgruppenmanager können Sie die Werte des Attributs für die Identifizierungsberechtigung für einen Benutzereintrag anzeigen. Weitere Informationen hierzu finden Sie im Abschnitt „Einblenden der Verzeichnisdetailansicht“ auf Seite 212. Â Sie können Kerberos für einen Benutzereintrag aktivieren, indem Sie den zugehörigen Kennworttyp ändern. Setzen Sie den Kennworttyp zuerst auf „Crypt-Kennwort“ und dann auf „Open Directory“. Weitere Informationen hierzu finden Sie in den Abschnitten „Ändern des Kennworttyps in „Crypt“-Kennwort“ auf Seite 125 und „Ändern des Kennworttyps in „Open Directory““ auf Seite 123. Â Wenn sich Benutzer mithilfe der Kerberos-Gesamtauthentifizierung nicht für Dienste identifizieren können, die von einem Server bereitgestellt werden, der mit dem Kerberos-Realm eines Open Directory-Masters verbunden ist, ist der Computereintrag des Servers im LDAP-Verzeichnis des Open Directory-Masters möglicherweise falsch konfiguriert. Der Name des Servers im Computergruppen-Account muss der vollständig qualifizierte DNS-Name des Servers sein, nicht nur der Hostname dieses Servers. Zum Beispiel kann der Name „server2.example.com“ nicht einfach nur „server2“ sein. Kapitel 10 Fehlerbeseitigung 241 Gehen Sie wie folgt vor, um den Computereintrag eines Servers erneut für die Kerberos-Gesamtauthentifizierung zu konfigurieren: 1 Löschen Sie den Server aus dem Computergruppen-Account im LDAP-Verzeichnis. Weitere Informationen zu diesem und dem nächsten Schritt finden Sie im Handbuch Benutzerverwaltung. 2 Fügen Sie den Server der Computergruppe erneut hinzu. 3 Delegieren Sie erneut die Berechtigung zum Beitritt des Servers zum Kerberos-Realm des Open Directory-Masters. Weitere Informationen hierzu finden Sie im Abschnitt „Delegieren der Berechtigung zum Hinzufügen eines Objekts zu einem Open Directory-Kerberos-Realm“ auf Seite 115. 4 Verbinden Sie den Server wieder mit dem Open Directory-Kerberos-Realm. Weitere Informationen hierzu finden Sie im Abschnitt „Hinzufügen eines Servers zu einem Kerberos-Realm“ auf Seite 118. Benutzer können ihre Kennwörter nicht ändern Benutzer, deren Accounts sich in einem LDAP-Verzeichnis befinden, das nicht von Mac OS X Server bereitgestellt wird, und deren Kennworttyp „Crypt“ lautet, können ihre Kennwörter nicht ändern, nachdem sie sich über einen Client-Computer mit Mac OS X 10.3 angemeldet haben. Diese Benutzer dürfen ihr Kennwort ändern, wenn Sie im Bereich „Erweitert“ des Arbeitsgruppenmanagers den Typ des Benutzerkennworts dieser Benutzer in „Open Directory“ ändern. Wenn Sie diese Änderung vornehmen, müssen Sie auch ein neues Kennwort angeben. Weisen Sie die Benutzer an, sich mit diesem neuen Kennwort anzumelden und das Kennwort in der Systemeinstellung „Benutzer“ zu ändern. Ein Server lässt sich einem Open Directory-Kerberos-Realm nicht hinzufügen Wenn ein Benutzer mit delegierten Kerberos-Rechten einem Server nicht mit dem Kerberos-Realm eines Open Directory-Master beitreten kann, ist der Computereintrag des Servers möglicherweise im LDAP-Verzeichnis des Open Directory-Master fehlerhaft konfiguriert. Die Adresse des Servers im Computergruppen-Account muss die primäre Ethernetadresse des Servers sein. Die primäre Ethernetadresse ist die Ethernet-ID des ersten Ethernetanschlusses in der Liste der Netzwerkanschlusskonfigurationen, die in der Systemeinstellung „Netzwerk“ des Servers angezeigt wird. 242 Kapitel 10 Fehlerbeseitigung Gehen Sie wie folgt vor, um den Computereintrag eines Servers so zu konfigurieren, dass der Server einem Kerberos-Realm beitritt: 1 Löschen Sie den Server aus dem Computergruppen-Account im LDAP-Verzeichnis. Weitere Informationen zu diesem und dem nächsten Schritt finden Sie im Handbuch Benutzerverwaltung. 2 Fügen Sie den Server der Computergruppe erneut hinzu. 3 Delegieren Sie erneut die Berechtigung zum Beitritt des Servers zum Kerberos-Realm des Open Directory-Masters. Überspringen Sie diesen Schritt, wenn Sie einen Kerberos-Administrator-Account (LDAP-Verzeichnis-Administrator-Account) verwenden können, um den Server dem Kerberos-Realm wieder hinzuzufügen. Weitere Informationen hierzu finden Sie im Abschnitt „Delegieren der Berechtigung zum Hinzufügen eines Objekts zu einem Open Directory-Kerberos-Realm“ auf Seite 115. 4 Verbinden Sie den Server wieder mit dem Open Directory-Kerberos-Realm. Weitere Informationen hierzu finden Sie im Abschnitt „Hinzufügen eines Servers zu einem Kerberos-Realm“ auf Seite 118. Sie müssen ein Administratorkennwort zurücksetzen Mithilfe der Mac OS X Server-Installations-DVD können Sie das Kennwort eines Benutzer-Accounts mit Administratorrechten ändern, einschließlich des SystemadministratorAccounts (bzw. des root- oder Superuser-Accounts). Wichtig: Da ein Benutzer mit der Installations-DVD unbegrenzt Zugriff auf Ihren Server erhalten kann, sollten Sie den physischen Zugriff auf die Serverhardware und die Installations-DVD beschränken. Gehen Sie wie folgt vor, um ein Administratorkennwort zurückzusetzen: 1 Starten Sie über die Mac OS X Server-Installations-DVD 1. 2 Wenn das Installationsprogramm angezeigt wird, wählen Sie „Installationsprogramm“ > „Kennwörter zurücksetzen“. 3 Wählen Sie das Festplattenvolume aus, das den Administrator-Account enthält, dessen Kennwort Sie zurücksetzen wollen. 4 Geben Sie über das Einblendmenü ein neues Kennwort ein, wählen Sie den Administrator-Account aus und klicken Sie auf „Sichern“. Der Systemadministrator-Account ist der Account des root-Benutzers (Superuser). Verwechseln Sie diesen Account nicht mit einem normalen Administrator-Account. Kapitel 10 Fehlerbeseitigung 243 Vermeiden Sie es, Kennwörter vordefinierter Benutzer-Accounts zu ändern. Weitere Informationen zu vordefinierten Benutzer-Accounts finden Sie im Handbuch Benutzerverwaltung. Hinweis: Mit diesem Vorgehen wird das Kennwort des Administrator-Accounts in der lokalen Verzeichnis-Domain des Servers geändert. Das Kennwort eines AdministratorAccounts in der gemeinsam genutzten Verzeichnis-Domain des Servers (falls vorhanden) wird nicht geändert. Wenn Sie das Kennwort eines Administrator-Accounts in der lokalen Domain kennen, können Sie das Kennwort jedes anderen Administrator-Accounts in der lokalen Verzeichnis-Domain ändern. Dazu wählen Sie nicht dieses Vorgehen, sondern verwenden den Arbeitsgruppenmanager. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern des Kennworts eines Benutzers“ auf Seite 121. 244 Kapitel 10 Fehlerbeseitigung Anhang Mac OS X-Verzeichnisdaten Die Kenntnis des Open Directory-LDAP-Schemas und der Datensatztypen und Attribute in Mac OS X VerzeichnisDomains kann Ihnen helfen, Zuordnungen zu anderen Verzeichnis-Domains vorzunehmen und Benutzer- und Gruppen-Accounts zu importieren oder exportieren. In diesem Anhang werden Open Directory-Erweiterungen des LDAP-Schemas, Zuordnungen von Open Directory-Attributen zu LDAP- und Active Directory-Attributen und die Standardattribute in verschiedenen Datensatztypen aufgeführt. Verwenden Sie diese Informationen für Folgendes: Â Zuordnen von Objektklassen und Attributen von nicht von Apple stammenden LDAPVerzeichnissen oder Active Directory-Domains zu Open Directory-Datensatztypen und -attributen, wie im Abschnitt „Konfigurieren von LDAP-Suchen und -Zuordnungen“ auf Seite 172 beschrieben. Â Importieren oder Exportieren von Benutzer- oder Gruppen-Accounts an eine Open Directory-Domain, wie im Handbuch Benutzerverwaltung beschrieben. Â Arbeiten in der Detailansicht des Arbeitsgruppenmanagers, wie im Abschnitt „Anzeigen und Bearbeiten von Verzeichnisdaten“ auf Seite 212 beschrieben. Hinweis: Die folgenden Tabellen bieten keine vollständigen Informationen zum Erweitern Ihres Schemas. In den Tabellen werden die Datensätze und Attribute genannt, die Open Directory aus vorhandenen Active Directory- und Unix RFC2307-Schemata verwendet. Außerdem werden die Attribute und Datensätze angegeben, die keine direkte Zuordnung besitzen. 245 Ausführliche Informationen hierzu finden Sie in den Abschnitten Â „Open Directory-Erweiterungen des LDAP-Schemas“ auf Seite 246 Â „Objektklassen im Open Directory-LDAP-Schema“ auf Seite 247 Â „Attribute im Open Directory-LDAP-Schema“ auf Seite 256 Â „Zuweisen von Standard-Datensatztypen und -Attributen zu LDAP und Active Directory“ auf Seite 277 Â „Zuordnungen für „Users““ auf Seite 278 Â „Zuordnungen für „Groups““ auf Seite 282 Â „Zuordnungen für „Mounts““ auf Seite 283 Â „Zuordnungen für „Computers““ auf Seite 284 Â „Zuordnungen für „ComputerLists““ auf Seite 285 Â „Zuordnungen für „Config““ auf Seite 286 Â „Zuordnungen für „People““ auf Seite 287 Â „Zuordnungen für „PresetComputerLists““ auf Seite 289 Â „Zuordnungen für „PresetGroups““ auf Seite 289 Â „Zuordnungen für „PresetUsers““ auf Seite 290 Â „Zuordnungen für „Printers““ auf Seite 292 Â „Zuordnungen für „AutoServerSetup““ auf Seite 293 Â „Zuordnungen für „Locations““ auf Seite 294 Â „Standardmäßige Open Directory-Datensatztypen und -attribute“ auf Seite 294 Â „Standardattribute in Benutzerdatensätzen“ auf Seite 295 Â „Standardattribute in Gruppendatensätzen“ auf Seite 300 Â „Standardattribute in Computerdatensätzen“ auf Seite 302 Â „Standardattribute in Computergruppen-Datensätzen“ auf Seite 303 Â „Standardattribute in Mount-Datensätzen“ auf Seite 303 Â „Standardattribute in Config-Datensätzen“ auf Seite 304 Open Directory-Erweiterungen des LDAP-Schemas Das Schema für die Open Directory-LDAP-Verzeichnisse basiert auf den De-factoStandardattributen und -Objektklassen, die in folgenden RFC-Dokumenten der IETF (Internet Engineering Task Force) definiert sind: Â RFC 2307 „An Approach for Using LDAP as a Network Information Service“ Â RFC 2798 „Definition of the inetOrgPerson LDAP Object Class“ LDAP-Schema-Definitionen legen Syntaxkennungen und übereinstimmende Regeln fest, die in RFC 2252 unter „LDAPv3 Attributes“ definiert sind. 246 Anhang Mac OS X-Verzeichnisdaten Diese RFCs sind auf der IETF-Web-Site verfügbar: www.ietf.org/rfc.html. Die Attribute und Objektklassen, die in diesen RFCs definiert sind, bilden die Basis des Open Directory-LDAP-Schemas. Das erweiterte Schema für Open Directory-LDAP-Verzeichnisse enthält die Attribute und Objektklassen, die in folgenden Abschnitt definiert sind: Â „Objektklassen im Open Directory-LDAP-Schema“ auf Seite 247 Â „Attribute im Open Directory-LDAP-Schema“ auf Seite 256 Hinweis: Apple kann das Open Directory-LDAP-Schema erweitern, beispielsweise um zukünftige Versionen von Mac OS X und Mac OS X Server zu unterstützen. Das neuste Schema ist in Textdateien auf einem Computer mit installiertem Mac OS X Server verfügbar. Die Schemadateien befinden sich im Verzeichnis „/etc/openldap/schema“. Die Datei „apple.schema“ enthält die neusten Schemaerweiterungen für Open DirectoryLDAP-Verzeichnisse. Objektklassen im Open Directory-LDAP-Schema In diesem Abschnitt werden die Open Directory-LDAP-Objektklassen definiert, um die das Standard-LDAP-Schema erweitert wurde. Strukturelle Objektklasse „container“ Die strukturelle Objektklasse „container“ wird für Datensatz-Container auf oberster Ebene wie cn=users, cn=groups und cn=mounts verwendet. Es gibt analog zu dieser Objektklasse keine Verzeichnisdienste, doch der Container-Name ist Teil des Suchbeginns für jeden Datensatztyp. #objectclass ( # 1.2.840.113556.1.3.23 # NAME 'container' # SUP top # STRUCTURAL # MUST ( cn ) ) Objektklasse „time-to-live“ objectclass ( 1.3.6.1.4.1.250.3.18 NAME 'cacheObject' AUXILIARY SUP top DESC 'Auxiliary object class to hold TTL caching information' MAY ( Anhang ttl ) ) Mac OS X-Verzeichnisdaten 247 Objektklasse „user“ Die Objektklasse „apple-user“ wird zur Speicherung von Mac OS X-Attributen verwendet, die nicht Teil von „inetOrgPerson“ oder „posixAccount“ sind. Diese Objektklasse wird bei kDSStdRecordTypeUsers-Datensätzen verwendet. objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.1 NAME 'apple-user' SUP top AUXILIARY DESC 'apple user account' MAY ( apple-user-homeurl $ apple-user-class $ apple-user-homequota $ apple-user-mailattribute $ apple-user-printattribute $ apple-mcxflags $ apple-mcxsettings $ apple-user-adminlimits $ apple-user-picture $ apple-user-authenticationhint $ apple-user-homesoftquota $ apple-user-passwordpolicy $ apple-keyword $ apple-generateduid $ apple-imhandle $ apple-webloguri $ authAuthority $ acctFlags $ pwdLastSet $ logonTime $ logoffTime $ kickoffTime $ homeDrive $ scriptPath $ profilePath $ userWorkstations $ smbHome $ rid $ primaryGroupID $ sambaSID $ sambaPrimaryGroupSID $ userCertificate $ jpegPhoto $ apple-nickname $ apple-namesuffix $ apple-birthday $ apple-relationships $ apple-organizationinfo $ apple-phonecontacts $ apple-emailcontacts $ apple-postaladdresses $ apple-mapcoordinates $ apple-mapuri $ apple-mapguid $ apple-serviceslocator) ) Objektklasse „group“ Die Objektklasse „apple-group“ wird zur Speicherung von Mac OS X-Attributen verwendet, die nicht Teil von „posixGroup“ sind. Diese Objektklasse wird bei kDSStdRecordTypeGroups-Datensätzen verwendet. objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.14 NAME 'apple-group' SUP top AUXILIARY DESC 'group account' MAY ( apple-group-homeurl $ apple-group-homeowner $ apple-mcxflags $ apple-mcxsettings $ apple-group-realname $ apple-user-picture $ apple-keyword $ apple-generateduid $ 248 Anhang Mac OS X-Verzeichnisdaten apple-group-nestedgroup $ apple-group-memberguid $ mail $ rid $ sambaSID $ ttl $ jpegPhoto $ apple-group-services $ apple-contactguid $ apple-ownerguid $ labeledURI $ apple-serviceslocator) ) Objektklasse „machine“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.3 NAME 'apple-machine' SUP top AUXILIARY MAY ( apple-machine-software $ apple-machine-hardware $ apple-machine-serves $ apple-machine-suffix $ apple-machine-contactperson ) ) Objektklasse „mount“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.8 NAME 'mount' SUP top STRUCTURAL MUST ( cn ) MAY ( mountDirectory $ mountType $ mountOption $ mountDumpFrequency $ mountPassNo ) ) Objektklasse „printer“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.9 NAME 'apple-printer' SUP top STRUCTURAL MUST ( cn ) MAY ( apple-printer-attributes $ apple-printer-lprhost $ apple-printer-lprqueue $ apple-printer-type $ apple-printer-note ) ) Anhang Mac OS X-Verzeichnisdaten 249 Objektklasse „computer“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.10 NAME 'apple-computer' DESC 'computer' SUP top STRUCTURAL MUST ( cn ) MAY ( apple-realname $ description $ macAddress $ apple-category $ apple-computer-list-groups $ apple-keyword $ apple-mcxflags $ apple-mcxsettings $ apple-networkview $ apple-xmlplist $ apple-service-url $ apple-serviceinfo $ apple-primarycomputerlist $ authAuthority $ uidNumber $ gidNumber $ apple-generateduid $ ttl $ acctFlags $ pwdLastSet $ logonTime $ logoffTime $ kickoffTime $ rid $ primaryGroupID $ sambaSID $ sambaPrimaryGroupSID owner $ apple-ownerguid $ apple-contactguid $ ipHostNumber $ bootFile) ) Objektklasse „computerlist“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.11 NAME 'apple-computer-list' DESC 'computer list' SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-computer-list-groups $ apple-computers $ apple-generateduid $ apple-keyword ) ) 250 Anhang Mac OS X-Verzeichnisdaten Objektklasse „configuration“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.12 NAME 'apple-configuration' DESC 'configuration' SUP top STRUCTURAL MAY ( cn $ apple-config-realname $ apple-data-stamp $ apple-password-server-location $ apple-password-server-list $ apple-ldap-replica $ apple-ldap-writable-replica $ apple-keyword $ apple-kdc-authkey $ apple-kdc-configdata $ apple-xmlplist $ ttl ) ) Objektklasse „preset computer list“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.13 NAME 'apple-preset-computer-list' DESC 'preset computer list' SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-computer-list-groups $ apple-keyword ) ) Objektklasse „preset computer“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.25 NAME 'apple-preset-computer' DESC 'preset computer' SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-computer-list-groups $ apple-primarycomputerlist $ description $ apple-networkview $ apple-keyword ) ) Anhang Mac OS X-Verzeichnisdaten 251 Objektklasse „preset computer group“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.26 NAME 'apple-preset-computer-group' DESC 'preset computer group' SUP top STRUCTURAL MUST ( cn ) MAY ( gidNumber $ memberUid $ apple-mcxflags $ apple-mcxsettings $ apple-group-nestedgroup $ description $ jpegPhoto $ apple-keyword ) ) Objektklasse „preset group“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.3.14 NAME 'apple-preset-group' DESC 'preset group' SUP top STRUCTURAL MUST ( cn ) MAY ( memberUid $ gidNumber $ description $ apple-group-homeurl $ apple-group-homeowner $ apple-mcxflags $ apple-mcxsettings $ apple-group-realname $ apple-keyword $ apple-group-nestedgroup $ apple-group-memberguid $ ttl $ jpegPhoto $ apple-group-services $ labeledURI) )) ) 252 Anhang Mac OS X-Verzeichnisdaten Objektklasse „preset user“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.15 NAME 'apple-preset-user' DESC 'preset user' SUP top STRUCTURAL MUST ( cn ) MAY ( uid $ memberUid $ gidNumber $ homeDirectory $ apple-user-homeurl $ apple-user-homequota $ apple-user-homesoftquota $ apple-user-mailattribute $ apple-user-printattribute $ apple-mcxflags $ apple-mcxsettings $ apple-user-adminlimits $ apple-user-passwordpolicy $ userPassword $ apple-user-picture $ apple-keyword $ loginShell $ description $ shadowLastChange $ shadowExpire $ authAuthority $ homeDrive $ scriptPath $ profilePath $ smbHome $ apple-preset-user-is-admin jpegPhoto $ apple-relationships $ apple-phonecontacts $ apple-emailcontacts $ apple-postaladdresses $ apple-mapcoordinates ) ) Objektklasse „authentication authority“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.16 NAME 'authAuthorityObject' SUP top STRUCTURAL MAY ( Anhang authAuthority ) ) Mac OS X-Verzeichnisdaten 253 Objektklasse „server assistant configuration“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.17 NAME 'apple-serverassistant-config' SUP top STRUCTURAL MUST ( cn ) MAY ( apple-xmlplist ) ) Objektklasse „location“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.18 NAME 'apple-location' SUP top AUXILIARY MUST ( cn ) MAY ( apple-dns-domain $ apple-dns-nameserver ) ) Objektklasse „service“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.19 NAME 'apple-service' SUP top STRUCTURAL MUST ( cn $ MAY ( ipHostNumber $ apple-service-type ) description $ apple-service-location $ apple-service-url $ apple-service-port $ apple-dnsname $ apple-keyword ) ) Objektklasse „neighborhood“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.20 NAME 'apple-neighborhood' SUP top STRUCTURAL MUST ( cn ) MAY ( description $ apple-generateduid $ apple-category $ apple-nodepathxml $ apple-neighborhoodalias $ apple-computeralias $ apple-keyword $ apple-realname $ apple-xmlplist $ ttl ) ) 254 Anhang Mac OS X-Verzeichnisdaten Objektklasse „acl“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.21 NAME 'apple-acl' SUP top STRUCTURAL MUST ( cn $ apple-acl-entry ) ) Objektklasse „resource“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.23 NAME 'apple-resource' SUP top STRUCTURAL MUST ( cn ) MAY ( apple-realname $ description $ jpegPhoto $ apple-keyword $ apple-generateduid $ apple-contactguid $ apple-ownerguid $ apple-resource-info $ apple-resource-type $ apple-capacity $ labeledURI $ apple-mapuri $ apple-serviceslocator $ apple-phonecontacts $ c $ apple-mapguid $ apple-mapcoordinates ) ) Objektklasse „augment“ objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.24 NAME 'apple-augment' SUP top STRUCTURAL MUST ( cn ) ) Objektlasse „automountMap“ objectclass ( 1.3.6.1.1.1.2.16 NAME 'automountMap' SUP top STRUCTURAL MUST ( automountMapName ) MAY description ) Objektklasse „automount“ objectclass ( 1.3.6.1.1.1.2.17 NAME 'automount' SUP top STRUCTURAL DESC 'Automount' MUST ( automountKey $ automountInformation ) MAY description ) Anhang Mac OS X-Verzeichnisdaten 255 Attribute im Open Directory-LDAP-Schema In diesem Abschnitt werden die Open Directory-LDAP-Attribute definiert, um die das Standard-LDAP-Schema erweitert wurde. „time-to-live“-Attribut attributetype ( 1.3.6.1.4.1.250.1.60 NAME 'ttl' EQUALITY integerMatch SYNTAX '1.3.6.1.4.1.1466.115.121.1.27' SINGLE-VALUE ) „user“-Attribute apple-user-homeurl Wird zum Speichern von Informationen zu Benutzerordnern in Form einer URL-Adresse und eines Pfads verwendet. Wird dem Attributtyp „kDS1AttrHomeDirectory“ in den Verzeichnisdiensten zugeordnet. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.6 NAME 'apple-user-homeurl' DESC 'home directory URL' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-class Nicht verwendet. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.7 NAME 'apple-user-class' DESC 'user class' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-homequota Wird zum Festlegen des Kontingents des Benutzerordners in Kilobyte verwendet. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.8 NAME 'apple-user-homequota' DESC 'home directory quota' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) 256 Anhang Mac OS X-Verzeichnisdaten apple-user-mailattribute Speichert E-Mail-Einstellungen wie XML. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.9 NAME 'apple-user-mailattribute' DESC 'mail attribute' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-mcxflags Wird verwendet, um Informationen zu verwalteten Clients zu speichern. Dieses Attribut ist ggf. in Benutzer-, Benutzergruppen-, Computer- und Computergruppen-Einträgen enthalten. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.10 NAME 'apple-mcxflags' DESC 'mcx flags' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-mcxsettings Wird verwendet, um Informationen zu verwalteten Clients zu speichern. Dieses Attribut ist ggf. in Benutzer-, Benutzergruppen-, Computer- und Computergruppen-Einträgen enthalten. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.1.11 # NAME 'apple-mcxsettings' # DESC 'mcx settings' # EQUALITY caseExactMatch # SUBSTR caseExactSubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.16 NAME ( 'apple-mcxsettings' 'apple-mcxsettings2' ) DESC 'mcx settings' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Anhang Mac OS X-Verzeichnisdaten 257 apple-user-picture Speichert einen Dateisystempfad für das Bild, das für diesen Benutzerdatensatz bei der Anzeige im Anmeldefenster verwendet werden soll. Dieses Attribut wird verwendet, wenn der Netzwerkbenutzer in der Liste im Anmeldefentster aufgeführt wird (in verwalteten Netzwerken). Benutzer können ihre Bilder standardmäßig ändern. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.12 NAME 'apple-user-picture' DESC 'picture' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-printattribute Speichert Druckerzuteilungseinstellungen als XML plist. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.13 NAME 'apple-user-printattribute' DESC 'print attribute' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-adminlimits Wird vom Arbeitsgruppenmanager zum Speichern einer XML-Plist-Datei verwendet, in der die Rechte und Möglichkeiten eines Administrators beschrieben werden. Diese Einstellungen werden vom Arbeitsgruppenmanager berücksichtigt und aktualisiert, haben aber keinen Einfluss auf andere Bereiche des Systems. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.14 NAME 'apple-user-adminlimits' DESC 'admin limits' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) 258 Anhang Mac OS X-Verzeichnisdaten apple-user-authenticationhint Wird vom Anmeldefenster verwendet, um einen Hinweis anzuzeigen, wenn sich der Benutzer drei Mal mit falschen Daten anmeldet. Die Benutzer können ihre Identifizierungshinweise standardmäßig aktualisieren. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.15 NAME 'apple-user-authenticationhint' DESC 'password hint' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-homesoftquota attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.17 NAME 'apple-user-homesoftquota' DESC 'home directory soft quota' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-passwordpolicy attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.18 NAME 'apple-user-passwordpolicy' DESC 'password policy options' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-keyword attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.19 NAME ( 'apple-keyword' ) DESC 'keywords' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Anhang Mac OS X-Verzeichnisdaten 259 apple-generateduid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.20 NAME ( 'apple-generateduid' ) DESC 'generated unique ID' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-imhandle attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.21 NAME ( 'apple-imhandle' ) DESC 'IM handle (service:account name)' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-webloguri attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.22 NAME ( 'apple-webloguri' ) DESC 'Weblog URI' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-mapcoordinates attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.23 NAME ( 'apple-mapcoordinates' ) DESC 'Map Coordinates' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-postaladdresses attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.24 NAME ( 'apple-postaladdresses' ) DESC 'Postal Addresses' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) 260 Anhang Mac OS X-Verzeichnisdaten apple-phonecontacts attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.25 NAME ( 'apple-phonecontacts' ) DESC 'Phone Contacts' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-emailcontacts attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.26 NAME ( 'apple-emailcontacts' ) DESC 'EMail Contacts' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-birthday attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.27 NAME ( 'apple-birthday' ) DESC 'Birthday' EQUALITY generalizedTimeMatch SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.24 SINGLE-VALUE ) apple-relationships attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.28 NAME ( 'apple-relationships' ) DESC 'Relationships' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-company attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.29 NAME ( 'apple-company' ) DESC 'company' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Anhang Mac OS X-Verzeichnisdaten 261 apple-nickname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.30 NAME ( 'apple-nickname' ) DESC 'nickname' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-mapuri attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.31 NAME ( 'apple-mapuri' ) DESC 'Map URI' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-mapguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.32 NAME ( 'apple-mapguid' ) DESC 'map GUID' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-serviceslocator attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.33 NAME ( 'apple-serviceslocator' ) DESC 'Calendar Principal URI' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-organizationinfo attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.34 NAME 'apple-organizationinfo' DESC 'Originization Info data' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 262 Anhang Mac OS X-Verzeichnisdaten apple-namesuffix attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.35 NAME ( 'apple-namesuffix' ) DESC 'namesuffix' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-primarycomputerlist attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.36 NAME ( 'apple-primarycomputerlist' ) DESC 'primary computer list' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-homeDirectory Wird nicht vom Open Directory-Server verwendet, aber als Beispiel-OID und -Attribut als Alternative zum Attribut „homeDirectory“ für RFC 2307 bereitgestellt. Das ist in erster Linie für Active Directory-Administratoren interessant, da Active Directory ein anderes Attribut „homeDirectory“ verwendet als RFC 2307. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.1.100 # NAME 'apple-user-homeDirectory' # DESC 'The absolute path to the home directory' # EQUALITY caseExactIA5Match # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) „group“-Attribute apple-group-homeurl Gibt den einer verwalteten Client-Arbeitsgruppe zugeordneten Benutzerordner an. Dieser wird bei der Anmeldung von einem beliebigen Benutzer in dieser Arbeitsgruppe aktiviert. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.1 NAME 'apple-group-homeurl' DESC 'group home url' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) Anhang Mac OS X-Verzeichnisdaten 263 apple-group-homeowner Bestimmt den Eigentümer des Benutzerordners der Arbeitsgruppe bei dessen Erstellung im Dateisystem. Die Gruppe des Ordners ist die Arbeitsgruppe, der er zugeordnet ist. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.2 NAME 'apple-group-homeowner' DESC 'group home owner settings' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-group-realname Wird zum Zuordnen eines längeren, benutzerfreundlicheren Namens zu Gruppen verwendet. Dieser Name wird im Arbeitsgruppenmanager angezeigt und kann Nicht-ASCIIZeichen enthalten. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.5 NAME 'apple-group-realname' DESC 'group real name' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-group-nestedgroup attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.6 NAME 'apple-group-nestedgroup' DESC 'group real name' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-group-memberguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.7 NAME 'apple-group-memberguid' DESC 'group real name' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 264 Anhang Mac OS X-Verzeichnisdaten apple-group-services attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.8 NAME 'apple-group-services' DESC 'group services' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-group-memberUid Wird nicht von einem Open Directory-Server verwendet, aber ist als Beispielattribut und -OID definiert, das bzw. die einem anderen LDAP-Server zur Unterstützung von Mac OS X-Clients hinzugefügt werden könnte. # Alternative to using memberUid from RFC 2307. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.14.1000 # NAME 'apple-group-memberUid' # DESC 'group member list' # EQUALITY caseExactIA5Match # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) # can also use OID 1.3.6.1.4.1.63.1000.1.1.2.1000 apple-contactguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.9 NAME ( 'apple-contactguid' ) DESC 'contact GUID' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-ownerguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.10 NAME ( 'apple-ownerguid' ) DESC 'owner GUID' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Anhang Mac OS X-Verzeichnisdaten 265 apple-primarycomputerguid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.11 NAME ( 'apple-primarycomputerguid' ) DESC 'primary computer GUID' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-group-expandednestedgroup attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.12 NAME 'apple-group-expandednestedgroup' DESC 'expanded nested group list' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „machine“-Attribute apple-machine-software attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.8 NAME 'apple-machine-software' DESC 'installed system software' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-hardware attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.9 NAME 'apple-machine-hardware' DESC 'system hardware description' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-serves attributeType ( 1.3.6.1.4.1.63.1000.1.1.1.3.10 NAME 'apple-machine-serves' DESC 'NetInfo Domain Server Binding' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) 266 Anhang Mac OS X-Verzeichnisdaten apple-machine-suffix attributeType ( 1.3.6.1.4.1.63.1000.1.1.1.3.11 NAME 'apple-machine-suffix' DESC 'DIT suffix' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-machine-contactperson attributeType ( 1.3.6.1.4.1.63.1000.1.1.1.3.12 NAME 'apple-machine-contactperson' DESC 'Name of contact person/owner of this machine' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) attributeTypesConfig attributeType ( 1.3.6.1.4.1.63.1000.1.1.1.22.1 NAME 'attributeTypesConfig' DESC 'RFC2252: attribute types' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) objectClassesConfig attributeType ( 1.3.6.1.4.1.63.1000.1.1.1.22.2 NAME 'objectClassesConfig' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „mount“-Attribute mountDirectory attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.1 NAME 'mountDirectory' DESC 'mount path' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Anhang Mac OS X-Verzeichnisdaten 267 mountType attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.2 NAME 'mountType' DESC 'mount VFS type' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) mountOption attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.3 NAME 'mountOption' DESC 'mount options' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) mountDumpFrequency attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.4 NAME 'mountDumpFrequency' DESC 'mount dump frequency' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) mountPassNo attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.5 NAME 'mountPassNo' DESC 'mount passno' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-mount-name # Alternative zur Verwendung von 'cn' beim Hinzufügen des Mount-Datensatzschemas zu anderen LDAP-Servern #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.8.100 # NAME ( 'apple-mount-name' ) # DESC 'mount name' # SUP name ) 268 Anhang Mac OS X-Verzeichnisdaten „printer“-Attribute apple-printer-attributes attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.1 NAME 'apple-printer-attributes' DESC 'printer attributes in /etc/printcap format' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-printer-lprhost attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.2 NAME 'apple-printer-lprhost' DESC 'printer LPR host name' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-lprqueue attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.3 NAME 'apple-printer-lprqueue' DESC 'printer LPR queue' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-type attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.4 NAME 'apple-printer-type' DESC 'printer type' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-note attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.5 NAME 'apple-printer-note' DESC 'printer note' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Anhang Mac OS X-Verzeichnisdaten 269 „computer“-Attribute apple-realname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.10.2 NAME 'apple-realname' DESC 'real name' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-networkview attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.10.3 NAME 'apple-networkview' DESC 'Network view for the computer' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-category attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.10.4 NAME 'apple-category' DESC 'Category for the computer or neighborhood' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „computerlist“-Attribute apple-computers attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.11.3 NAME 'apple-computers' DESC 'computers' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-computer-list-groups attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.11.4 NAME 'apple-computer-list-groups' DESC 'groups' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 270 Anhang Mac OS X-Verzeichnisdaten „xmlplist“-Attribut apple-xmlplist attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.17.1 NAME 'apple-xmlplist' DESC 'XML plist data' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) „service-url“-Attribut apple-service-url attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.2 NAME 'apple-service-url' DESC 'URL of service' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) „serviceinfo“-Attribut apple-serviceinfo attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.6 NAME 'apple-serviceinfo' DESC 'service related information' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „configuration“-Attribute apple-password-server-location attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.1 NAME 'apple-password-server-location' DESC 'password server location' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) Anhang Mac OS X-Verzeichnisdaten 271 apple-data-stamp attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.2 NAME 'apple-data-stamp' DESC 'data stamp' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-config-realname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.3 NAME 'apple-config-realname' DESC 'config real name' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-password-server-list attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.4 NAME 'apple-password-server-list' DESC 'password server replication plist' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-ldap-replica attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.5 NAME 'apple-ldap-replica' DESC 'LDAP replication list' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-ldap-writable-replica attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.6 NAME 'apple-ldap-writable-replica' DESC 'LDAP writable replication list' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 272 Anhang Mac OS X-Verzeichnisdaten apple-kdc-authkey attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.7 NAME 'apple-kdc-authkey' DESC 'KDC master key RSA encrypted with realm public key' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-kdc-configdata attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.8 NAME 'apple-kdc-configdata' DESC 'Contents of the kdc.conf file' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) „presetUser“-Attribut apple-preset-user-is-admin attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.15.1 NAME 'apple-preset-user-is-admin' DESC 'flag indicating whether the preset user is an administrator' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) „authentication authority“-Attribute authAuthority #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.2.16.1 # NAME 'authAuthority' # DESC 'password server authentication authority' # EQUALITY caseExactIA5Match # SUBSTR caseExactIA5SubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) authAuthority2 #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.2.16.2 # NAME ( 'authAuthority' 'authAuthority2' ) # DESC 'password server authentication authority' # EQUALITY caseExactMatch # SUBSTR caseExactSubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Anhang Mac OS X-Verzeichnisdaten 273 „location“-Attribute apple-dns-domain attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.18.1 NAME 'apple-dns-domain' DESC 'DNS domain' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-dns-nameserver attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.18.2 NAME 'apple-dns-nameserver' DESC 'DNS name server list' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „service“-Attribute apple-service-type attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.1 NAME 'apple-service-type' DESC 'type of service' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-service-url #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.19.2 # NAME 'apple-service-url' # DESC 'URL of service' # EQUALITY caseExactIA5Match # SUBSTR caseExactIA5SubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-service-port attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.3 NAME 'apple-service-port' DESC 'Service port number' EQUALITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 ) 274 Anhang Mac OS X-Verzeichnisdaten apple-dnsname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.4 NAME 'apple-dnsname' DESC 'DNS name' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-service-location attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.19.5 NAME 'apple-service-location' DESC 'Service location' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „neighborhood“-Attribute apple-nodepathxml attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.20.1 NAME 'apple-nodepathxml' DESC 'XML plist of directory node path' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-neighborhoodalias attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.20.2 NAME 'apple-neighborhoodalias' DESC 'XML plist referring to another neighborhood record' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-computeralias attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.20.3 NAME 'apple-computeralias' DESC 'XML plist referring to a computer record' EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Anhang Mac OS X-Verzeichnisdaten 275 „acl“-Attribut apple-acl-entry #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.21.1 # NAME 'apple-acl-entry' # DESC 'acl entry' # EQUALITY caseExactMatch # SUBSTR caseExactSubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „schema“-Attribute attributeTypesConfig #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.22.1 # NAME 'attributeTypesConfig' # DESC 'attribute type configuration' # EQUALITY objectIdentifierFirstComponentMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.3 ) objectClassesConfig #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.22.2 # NAME 'objectClassesConfig' # DESC 'object class configuration' # EQUALITY objectIdentifierFirstComponentMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.37 ) „resource“-Attribute apple-resource-type attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.23.1 NAME 'apple-resource-type' DESC 'resource type' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-resource-info attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.23.2 NAME 'apple-resource-info' DESC 'resource info' EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) 276 Anhang Mac OS X-Verzeichnisdaten apple-capacity attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.23.3 NAME 'apple-capacity' DESC 'capacity' EQUALITY integerMatch SYNTAX '1.3.6.1.4.1.1466.115.121.1.27' SINGLE-VALUE ) „automount“-Attribute automountMapName attributetype ( 1.3.6.1.1.1.1.31 NAME 'automountMapName' DESC 'automount Map Name' EQUALITY caseExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) automountKey attributetype ( 1.3.6.1.1.1.1.32 NAME 'automountKey' DESC 'Automount Key value' EQUALITY caseExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) automountInformation attributetype ( 1.3.6.1.1.1.1.33 NAME 'automountInformation' DESC 'Automount information' EQUALITY caseExactMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Zuweisen von Standard-Datensatztypen und -Attributen zu LDAP und Active Directory In diesem Abschnitt wird erläutert, wie Open Directory-Datensatztypen und -attribute LDAP-Objektklassen und Attributen zugewiesen werden. Außerdem erfahren Sie hier, wie einige Active Directory-Objektkategorien und -attribute Open Directory-Datensatztypen und -attributen zugewiesen und daraus generiert werden. Anhang Mac OS X-Verzeichnisdaten 277 Die folgenden Tabellen enthalten keine Zuordnungen zum Erweitern Ihres Schemas. In den Tabellen werden jeweils die Datensätze und Attribute genannt, die Open Directory aus vorhandenen Active Directory- und Unix RFC2307-Schemata verwendet. Außerdem werden die Attribute und Datensätze angegeben, die keine direkten Zuordnungen besitzen. Zuordnungen für „Users“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „Users“ und die zugehörigen Attribute den LDAP-Objektklassen und -attributen zuordnet. Die Tabellen enthalten auch Informationen dazu, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „Users“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In Users, RFC 2798 inetOrgPerson 2.16.840.1.113730.3.2.2 ObjectCategory = Person Users, RFC 2307 posixAccount 1.3.6.1.1.1.2.0 Users, RFC 2307 shadowAccount 1.3.6.1.1.1.2.1 Users, von Apple registriert apple-user 1.3.6.1.4.1.63.1000.1.1.2.1 Erweitertes Apple-Schema Attributzuordnungen für „Users“ 278 Open Directory-Name, RFC/Klasse spezieller Zweck LDAP-Attributname OID Active DirectoryPlug-In HomeDirectory, von Apple registriert apple-user-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 Generiert aus homeDirectory HomeDirectoryQuota, von Apple registriert apple-user-homequota 1.3.6.1.4.1.63.1000.1.1.1.1.8 Erweitertes Apple-Schema HomeDirectorySoftQuota, von Apple registriert apple-user-homesoftquota 1.3.6.1.4.1.63.1000.1.1.1.1.17 Erweitertes Apple-Schema MailAttribute, von Apple registriert apple-user-mailattribute 1.3.6.1.4.1.63.1000.1.1.1.1.9 Erweitertes Apple-Schema PrintServiceUserData, von Apple registriert apple-user-printattribute 1.3.6.1.4.1.63.1000.1.1.1.1.13 Erweitertes Apple-Schema MCXFlags, von Apple registriert apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten Open Directory-Name, RFC/Klasse spezieller Zweck LDAP-Attributname OID Active DirectoryPlug-In MCXSettings, von Apple registriert apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema AdminLimits, von Apple registriert apple-user-adminlimits 1.3.6.1.4.1.63.1000.1.1.1.1.14 Erweitertes Apple-Schema AuthenticationAuthority, von Apple registriert authAuthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 Als Kerberos-Berechtigung generiert AuthenticationHint, von Apple registriert apple-user-authenticationhint 1.3.6.1.4.1.63.1000.1.1.1.1.15 Erweitertes Apple-Schema PasswordPolicyOptions, von Apple registriert apple-user-passwordpolicy 1.3.6.1.4.1.63.1000.1.1.1.1.18 Erweitertes Apple-Schema Keywords, von Apple registriert apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema Picture, von Apple registriert apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 Erweitertes Apple-Schema GeneratedUID, von Apple registriert apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 Aus GUID – formatiert RecordName, RFC 2256 cn 2.5.4.3 Generiert aus cn, userPrincipal, mail, sAMAccountName RecordName, RFC 1274 uid 0.9.2342.19200300.100.1.1 n. v. EMailAddress, RFC 1274 mail 0.9.2342.19200300.100.1.3 RFC-Standard RealName, RFC 2256 cn 2.5.4.3 1.2.840.113556.1.2.13 (Microsoft) Password, RFC 2256 userPassword 2.5.4.35 Keine Zuordnung Comment, RFC 2256 description 2.5.4.13 RFC-Standard LastName, RFC 2256 sn 2.5.4.4 RFC-Standard FirstName, RFC 2256 givenName 2.5.4.42 RFC-Standard PhoneNumber, RFC 2256 telephoneNumber 2.5.4.20 RFC-Standard AddressLIne1, RFC 2256 street 2.5.4.9 RFC-Standard PostalAddress, RFC 2256 postalAddress 2.5.4.16 RFC-Standard PostalCode, RFC 2256 postalCode 2.5.4.17 RFC-Standard Anhang Mac OS X-Verzeichnisdaten 279 280 Open Directory-Name, RFC/Klasse spezieller Zweck LDAP-Attributname OID Active DirectoryPlug-In OrganizationName, RFC 2256 o 2.5.4.10 1.2.840.113556.1.2.146 (Microsoft) UserShell, RFC 2307 loginShell 1.3.6.1.1.1.1.4 Mit RFC erweitert Change, RFC 2307 shadowLastChange 1.3.6.1.1.1.1.5 Keine Zuordnung Expire, RFC 2307 shadowExpire 1.3.6.1.1.1.1.10 Keine Zuordnung UniqueID, RFC 2307 uidNumber 1.3.6.1.1.1.1.0 Generiert aus GUID NFSHomeDirectory, RFC 2307 homeDirectory 1.3.6.1.1.1.1.3 Generiert aus homeDirectory PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Mit RFC erweitert oder aus GUID generiert SMBAccountFlags, von Samba registriert, Apple PDC acctFlags 1.3.6.1.4.1.7165.2.1.4 1.2.840.113556.1.4.302 (Microsoft) SMBPasswordLastSet, von Samba registriert, Apple PDC pwdLastSet 1.3.6.1.4.1.7165.2.1.3 1.2.840.113556.1.4.96 (Microsoft) SMBLogonTime, von Samba registriert, Apple PDC logonTime 1.3.6.1.4.1.7165.2.1.5 1.2.840.113556.1.4.52 (Microsoft) SMBLogoffTime, von Samba registriert, Apple PDC logoffTime 1.3.6.1.4.1.7165.2.1.6 1.2.840.113556.1.4.51 (Microsoft) SMBKickoffTime, von Samba registriert, Apple PDC kickoffTime 1.3.6.1.4.1.7165.2.1.7 Keine Zuordnung SMBHomeDrive, von Samba registriert, Apple PDC homeDrive 1.3.6.1.4.1.7165.2.1.10 1.2.840.113556.1.4.45 (Microsoft) SMBScriptPath, von Samba registriert, Apple PDC scriptPath 1.3.6.1.4.1.7165.2.1.11 1.2.840.113556.1.4.62 (Microsoft) SMBProfilePath, von Samba registriert, Apple PDC profilePath 1.3.6.1.4.1.7165.2.1.12 1.2.840.113556.1.4.139 (Microsoft) SMBUserWorkstations, von Samba registriert, Apple PDC userWorkstations 1.3.6.1.4.1.7165.2.1.13 1.2.840.113556.1.4.86 (Microsoft) Anhang Mac OS X-Verzeichnisdaten Open Directory-Name, RFC/Klasse spezieller Zweck LDAP-Attributname OID Active DirectoryPlug-In SMBHome, von Samba registriert, Apple PDC smbHome 1.3.6.1.4.1.7165.2.1.17 1.2.840.113556.1.4.44 (Microsoft) SMBRID, von Samba registriert, Apple PDC rid 1.3.6.1.4.1.7165.2.1.14 1.2.840.113556.1.4.153 (Microsoft) SMBGroupRID, von Samba registriert, Apple PDC primaryGroupID 1.3.6.1.4.1.7165.2.1.15 1.2.840.113556.1.4.98 (Microsoft) FaxNumber, RFC 2256 fax 2.5.4.23 RFC-Standard MobileNumber, RFC 1274 mobile 0.9.2342.19200300.100.1.41 RFC-Standard PagerNumber, RFC 1274 pager 0.9.2342.19200300.100.1.42 RFC-Standard Department, RFC 2798, departmentNumber 2.16.840.1.113730.3.1.2 1.2.840.113556.1.2.141 (Microsoft) NickName, Microsoft Attribute 1.2.840.113556.1.2.447 (Microsoft) JobTitle, RFC 2256 title 2.5.4.12 RFC-Standard Building, RFC 2256 buildingName 2.5.4.19 RFC-Standard Country, RFC 2256 c 2.5.4.6 RFC-Standard Street, RFC 2256 street 2.5.4.9 1.2.840.113556.1.2.256 (Microsoft) City, RFC 2256 locality 2.5.4.7 RFC-Standard State, RFC 2256 st 2.5.4.8 RFC-Standard Anhang Mac OS X-Verzeichnisdaten 281 Zuordnungen für „Groups“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „Groups“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet. Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „Groups“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In Groups, RFC 2307 posixGroup 1.3.6.1.1.1.2.2 objectCategory = Group Groups, von Apple registriert apple-group 1.3.6.1.4.1.63.1000.1.1.2.14 Erweitertes Apple-Schema Attributzuordnungen für „Groups“ 282 Open Directory-Name, RFC/Klasse LDAP-Attributname OID Active DirectoryPlug-In RecordName, RFC 2256 cn 2.5.4.3 RFC-Standard HomeDirectory, von Apple registriert apple-group-homeurl 1.3.6.1.4.1.63.1000.1.1.1.14.1 Erweitertes Apple-Schema HomeLocOwner, von Apple registriert apple-group-homeowner 1.3.6.1.4.1.63.1000.1.1.1.14.2 Erweitertes Apple-Schema MCXFlags, von Apple registriert apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema MCXSettings, von Apple registriert apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema RealName, von Apple registriert apple-group-realname 1.3.6.1.4.1.63.1000.1.1.1.14.5 1.2.840.113556.1.2.13 (Microsoft) Picture, von Apple registriert apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 Erweitertes Apple-Schema Keywords, von Apple registriert apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema GeneratedUID, von Apple registriert apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 Aus GUID – formatiert GroupMembership, RFC 2307 memberUid 1.3.6.1.1.1.1.12 Aus Member generiert Anhang Mac OS X-Verzeichnisdaten Open Directory-Name, RFC/Klasse LDAP-Attributname OID Active DirectoryPlug-In Member, RFC 2307 memberUid 1.3.6.1.1.1.1.12 Entspricht GroupMembership PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Mit RFC erweitert oder aus GUID generiert Zuordnungen für „Mounts“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „Mounts“ und die zugehörigen Attribute den LDAP-Objektklassen und -attributen zuordnet. Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „Mounts“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In Mounts, von Apple registriert mount 1.3.6.1.4.1.63.1000.1.1.2.8 Erweitertes Apple-Schema Attributzuordnungen für „Mounts“ Open Directory-Name, RFC/Klasse LDAP-Attributname OID Active DirectoryPlug-In RecordName, RFC 2256 cn 2.5.4.3 RFC-Standard VFSLinkDir, von Apple registriert mountDirectory 1.3.6.1.4.1.63.1000.1.1.1.8.1 Erweitertes Apple-Schema VFSOpts, von Apple registriert mountOption 1.3.6.1.4.1.63.1000.1.1.1.8.3 Erweitertes Apple-Schema VFSType, von Apple registriert mountType 1.3.6.1.4.1.63.1000.1.1.1.8.2 Erweitertes Apple-Schema VFSDumpFreq, von Apple registriert mountDumpFrequency 1.3.6.1.4.1.63.1000.1.1.1.8.4 Erweitertes Apple-Schema VFSPassNo, von Apple registriert mountPassNo 1.3.6.1.4.1.63.1000.1.1.1.8.5 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten 283 Zuordnungen für „Computers“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „Computers“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet. Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „Computers“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In Computers, von Apple registriert apple-computer 1.3.6.1.4.1.63.1000.1.1.2.10 objectCategory = Computer Attributzuordnungen für „Computers“ 284 Open Directory-Name, RFC/Klasse spezieller Zweck LDAP-Attributname OID Active DirectoryPlug-In RecordName, RFC 2256 cn 2.5.4.3 RFC-Standard RealName, von Apple registriert apple-realname 1.3.6.1.4.1.63.1000.1.1.1.10.2 1.2.840.113556.1.2.13 (Microsoft) MCXFlags, von Apple registriert apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema MCXSettings, von Apple registriert apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema Group, von Apple registriert apple-computer-list-groups 1.3.6.1.4.1.63.1000.1.1.1.11.4 Erweitertes Apple-Schema AuthenticationAuthority, von Apple registriert authAuthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 n. v. GeneratedUID, von Apple registriert apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 Aus GUID – formatiert XMLPlist, von Apple registriert apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 Erweitertes Apple-Schema Comment, RFC 2256 description 2.5.4.13 RFC-Standard ENetAddress, RFC 2307 macAddress 1.3.6.1.1.1.1.22 Mit RFC erweitert UniqueID, RFC 2307 uidNumber 1.3.6.1.1.1.1.0 Generiert aus GUID PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Mit RFC erweitert oder generiert Anhang Mac OS X-Verzeichnisdaten Open Directory-Name, RFC/Klasse spezieller Zweck LDAP-Attributname OID Active DirectoryPlug-In SMBAccountFlags, von Samba registriert, Apple PDC acctFlags 1.3.6.1.4.1.7165.2.1.4 1.2.840.113556.1.4.302 (Microsoft) SMBPasswordLastSet, von Samba registriert, Apple PDC pwdLastSet 1.3.6.1.4.1.7165.2.1.3 1.2.840.113556.1.4.96 (Microsoft) SMBLogonTime, von Samba registriert, Apple PDC logonTime 1.3.6.1.4.1.7165.2.1.5 1.2.840.113556.1.4.52 (Microsoft) SMBLogoffTime, von Samba registriert, Apple PDC logoffTime 1.3.6.1.4.1.7165.2.1.6 1.2.840.113556.1.4.51 (Microsoft) SMBKickoffTime, von Samba registriert, Apple PDC kickoffTime 1.3.6.1.4.1.7165.2.1.7 Keine Zuordnung SMBRID, von Samba registriert, Apple PDC rid 1.3.6.1.4.1.7165.2.1.14 1.2.840.113556.1.4.153 (Microsoft) SMBGroupID, von Samba registriert, Apple PDC primaryGroupID 1.3.6.1.4.1.7165.2.1.15 1.2.840.113556.1.4.98 (Microsoft) Zuordnungen für „ComputerLists“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „ComputerLists“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet. Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „ComputerLists“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In ComputerLists, von Apple registriert apple-computer-list 1.3.6.1.4.1.63.1000.1.1.2.11 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten 285 Attributzuordnungen für „ComputerLists“ Open Directory-Name, RFC/Klasse LDAP-Attributname OID Active DirectoryPlug-In RecordName, RFC 2256 cn 2.5.4.3 RFC-Standard MCXFlags, von Apple registriert apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema MCXSettings, von Apple registriert apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema Computers, von Apple registriert apple-computers 1.3.6.1.4.1.63.1000.1.1.1.11.3 Erweitertes Apple-Schema Group, von Apple registriert apple-computer-list-groups 1.3.6.1.4.1.63.1000.1.1.1.11.4 Erweitertes Apple-Schema Keywords, von Apple registriert apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema Zuordnungen für „Config“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „Config“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet. Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „Config“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In Config, von Apple registriert apple-configuration 1.3.6.1.4.1.63.1000.1.1.2.12 Erweitertes Apple-Schema Attributzuordnungen für „Config“ 286 Open Directory-Name, RFC/Klasse spezieller Zweck LDAP-Attributname OID Active DirectoryPlug-In RecordName, RFC 2256 cn 2.5.4.3 RFC-Standard RealName, von Apple registriert apple-config-realname 1.3.6.1.4.1.63.1000.1.1.1.12.3 1.2.840.113556.1.2.13 (Microsoft) DataStamp, von Apple registriert apple-data-stamp 1.3.6.1.4.1.63.1000.1.1.1.12.2 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten Open Directory-Name, RFC/Klasse spezieller Zweck LDAP-Attributname OID Active DirectoryPlug-In KDCAuthKey, von Apple registriert, Apple KDC apple-kdc-authkey 1.3.6.1.4.1.63.1000.1.1.1.12.7 Keine Zuordnung KDCConfigData, von Apple registriert, Apple KDC apple-kdc-configdata 1.3.6.1.4.1.63.1000.1.1.1.12.8 Keine Zuordnung Keywords, von Apple registriert apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema LDAPReadReplicas, von Apple registriert, Apple LDAP-Server apple-ldap-replica 1.3.6.1.4.1.63.1000.1.1.1.12.5 Keine Zuordnung LDAPWriteReplicas, von Apple registriert, Apple LDAP-Server apple-ldap-writable-replica 1.3.6.1.4.1.63.1000.1.1.1.12.6 Keine Zuordnung PasswordServerList, von Apple registriert, Kennwortserver apple-password-server-list 1.3.6.1.4.1.63.1000.1.1.1.12.4 Keine Zuordnung PasswordServerLocation, von Apple registriert, Kennwortserver apple-password-server-location 1.3.6.1.4.1.63.1000.1.1.1.12.1 Keine Zuordnung XMLPlist, von Apple registriert apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 Erweitertes Apple-Schema Zuordnungen für „People“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „People“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet. Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „People“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In People, RFC 2798 inetOrgPerson 2.16.840.1.113730.3.2.2 RFC-Standard Anhang Mac OS X-Verzeichnisdaten 287 Attributzuordnungen für „People“ 288 Open Directory-Name, RFC/Klasse LDAP-Attributname OID Active DirectoryPlug-In RecordName, RFC 2256 cn 2.5.4.3 RFC-Standard EMailAddress, RFC 1274 mail 0.9.2342.19200300.100.1.3 RFC-Standard RealName, RFC 2256 cn 1.2.840.113556.1.3.23 RFC-Standard LastName, RFC 2256 sn 2.5.4.4 RFC-Standard FirstName, RFC 2256 givenName 2.5.4.42 RFC-Standard FaxNumber, RFC 2256 fax 2.5.4.23 RFC-Standard MobileNumber, RFC 1274 mobile 0.9.2342.19200300.100.1.41 RFC-Standard PagerNumber, RFC 1274 pager 0.9.2342.19200300.100.1.42 RFC-Standard Department, RFC 2798, departmentNumber 2.16.840.1.113730.3.1.2 1.2.840.113556.1.2.141 (Microsoft) JobTitle, RFC 2256 title 2.5.4.12 RFC-Standard PhoneNumber, RFC 2256 telephoneNumber 2.5.4.20 RFC-Standard AddressLine1, RFC 2256 street 2.5.4.9 RFC-Standard Street, RFC 2256 street 2.5.4.9 RFC-Standard PostalAddress, RFC 2256 postalAddress 2.5.4.16 RFC-Standard City, RFC 2256 locality 2.5.4.7 RFC-Standard State, RFC 2256 st 2.5.4.8 RFC-Standard Country, RFC 2256 c 2.5.4.6 RFC-Standard PostalCode, RFC 2256 postalCode 2.5.4.17 RFC-Standard OrganizationName, RFC 2256 o 2.5.4.10 1.2.840.113556.1.2.146 (Microsoft) Anhang Mac OS X-Verzeichnisdaten Zuordnungen für „PresetComputerLists“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „PresetComputerList“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet. Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „PresetComputerLists“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In PresetComputerLists, von Apple registriert apple-preset-computer-list 1.3.6.1.4.1.63.1000.1.1.2.13 Erweitertes Apple-Schema Attributzuordnungen für „PresetComputerLists“ Open Directory-Name, RFC/Klasse LDAP-Attributname OID Active DirectoryPlug-In RecordName, RFC 2256 cn 2.5.4.3 RFC-Standard MCXFlags, von Apple registriert apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema MCXSettings, von Apple registriert apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema Keywords, von Apple registriert apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema Zuordnungen für „PresetGroups“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „PresetGroups“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet. Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „PresetGroups“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In PresetGroups, von Apple registriert apple-preset-group 1.3.6.1.4.1.63.1000.1.1.3.14 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten 289 Attributzuordnungen für „PresetGroups“ Open Directory-Name, RFC/Klasse LDAP-Attributname OID Active DirectoryPlug-In HomeDirectory, von Apple registriert apple-group-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 Erweitertes Apple-Schema HomeLocOwner, von Apple registriert apple-group-homeowner 1.3.6.1.4.1.63.1000.1.1.1.14.2 Erweitertes Apple-Schema MCXFlags, von Apple registriert apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema MCXSettings, von Apple registriert apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema RealName, von Apple registriert apple-group-realname 1.3.6.1.4.1.63.1000.1.1.1.14.5 Erweitertes Apple-Schema Keywords, von Apple registriert apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema RecordName, RFC 2256 cn 2.5.4.3 RFC-Standard GroupMembership, RFC 2307 memberUid 1.3.6.1.1.1.1.12 Mit RFC erweitert PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Mit RFC erweitert Zuordnungen für „PresetUsers“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „PresetUsers“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet. Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „PresetUsers“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In PresetUsers, von Apple registriert apple-preset-user 1.3.6.1.4.1.63.1000.1.1.2.15 ObjectCategory = Person Attributzuordnungen für „PresetUsers“ 290 Open Directory-Name, RFC/Klasse LDAP-Attributname OID Active DirectoryPlug-In HomeDirectory, von Apple registriert apple-user-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 n. v. HomeDirectoryQuota, von Apple registriert apple-user-homequota 1.3.6.1.4.1.63.1000.1.1.1.1.8 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten Open Directory-Name, RFC/Klasse LDAP-Attributname OID Active DirectoryPlug-In HomeDirectorySoftQuota, von Apple registriert apple-user-homesoftquota 1.3.6.1.4.1.63.1000.1.1.1.1.17 Erweitertes Apple-Schema MailAttribute, von Apple registriert apple-user-mailattribute 1.3.6.1.4.1.63.1000.1.1.1.1.9 Erweitertes Apple-Schema PrintServiceUserData, von Apple registriert apple-user-printattribute 1.3.6.1.4.1.63.1000.1.1.1.1.13 Erweitertes Apple-Schema MCXFlags, von Apple registriert apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema MCXSettings, von Apple registriert apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema AdminLimits, von Apple registriert apple-user-adminlimits 1.3.6.1.4.1.63.1000.1.1.1.1.14 Erweitertes Apple-Schema Picture, von Apple registriert apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 Erweitertes Apple-Schema AuthenticationAuthority, von Apple registriert authAuthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 n. v. PasswordPolicyOptions, von Apple registriert apple-user-passwordpolicy 1.3.6.1.4.1.63.1000.1.1.1.1.18 Erweitertes Apple-Schema PresetUserIsAdmin, von Apple registriert apple-preset-user-is-admin 1.3.6.1.4.1.63.1000.1.1.1.15.1 Erweitertes Apple-Schema Keywords, von Apple registriert apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema RecordName, RFC 1274 cn 2.5.4.3 RFC-Standard RealName, RFC 2256 cn 2.5.4.3 RFC-Standard Password, RFC 2256 userPassword 2.5.4.35 n. v. GroupMembership, RFC 2307 memberUid 1.3.6.1.1.1.1.12 Mit RFC erweitert PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Mit RFC erweitert NFSHomeDirectory, RFC 2307 homeDirectory 1.3.6.1.1.1.1.3 n. v. UserShell, RFC 2307 loginShell 1.3.6.1.1.1.1.4 Mit RFC erweitert Change, RFC 2307 shadowLastChange 1.3.6.1.1.1.1.5 n. v. Expire, RFC 2307 shadowExpire 1.3.6.1.1.1.1.10 n. v. Anhang Mac OS X-Verzeichnisdaten 291 Zuordnungen für „Printers“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „Printers“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet. Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „Printers“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In Printers, von Apple registriert apple-printer 1.3.6.1.4.1.63.1000.1.1.2.9 ObjectCategory = Print-Queue Printers, IETF-Draft-IPP-LDAP printerIPP 1.3.18.0.2.6.256 Attributzuordnungen für „Printers“ 292 Open Directory-Name, RFC/Klasse spezieller Zweck LDAP-Attributname OID Active DirectoryPlug-In RecordName, RFC 2256 cn 2.5.4.3 RFC-Standard RealName, RFC 2256 Nicht vorab festgelegt 1.2.840.113556.1.4.300 (Microsoft) PrinterLPRHost, von Apple registriert, Legacy-Unterstützung apple-printer-lprhost 1.3.6.1.4.1.63.1000.1.1.1.9.2 n. v. PrinterLPRQueue, von Apple registriert, Legacy-Unterstützung apple-printer-lprqueue 1.3.6.1.4.1.63.1000.1.1.1.9.3 n. v. PrinterType, von Apple registriert, Legacy-Unterstützung apple-printer-type 1.3.6.1.4.1.63.1000.1.1.1.9.4 n. v. PrinterNote, von Apple registriert, Legacy-Unterstützung apple-printer-note 1.3.6.1.4.1.63.1000.1.1.1.9.5 n. v. Location, IETF-Draft-IPP-LDAP Nicht vorab festgelegt, mögliche 1.2.840.113556.1.4.222 (Microsoft) Zuordnung zu: printer-location 1.3.18.0.2.4.1136 Comment, RFC 2256 Nicht vorab festgelegt, mögliche RFC-Standard Zuordnung zu: description 2.5.4.13 Anhang Mac OS X-Verzeichnisdaten Open Directory-Name, RFC/Klasse spezieller Zweck LDAP-Attributname OID Active DirectoryPlug-In PrinterMakeAndModel, IETF-Draft-IPP-LDAP Nicht vorab festgelegt, mögliche 1.2.840.113556.1.4.229 (Microsoft) Zuordnung zu: printer-make-and-model 1.3.18.0.2.4.1138 PrinterURI, IETF-Draft-IPP-LDAP Nicht vorab festgelegt, mögliche Generiert aus uNCName Zuordnung zu: printer-uri 1.3.18.0.2.4.1140 PrinterXRISupported, IETF-Draft-IPP-LDAP Nicht vorab festgelegt, mögliche Generiert aus portName/ Zuordnung zu: uNCName printer-xri-supported 1.3.18.0.2.4.1107 Printer1284DeviceID, von Apple registriert Nicht vorab festgelegt, mögliche Erweitertes Apple-Schema Zuordnung zu: printer-1284-device-id 1.3.6.1.4.1.63.1000.1.1.1.9.6 Zuordnungen für „AutoServerSetup“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „AutoServerSetup“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet. Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „AutoServerSetup“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In AutoServerSetup, von Apple registriert apple-serverassistant-config 1.3.6.1.4.1.63.1000.1.1.2.17 Erweitertes Apple-Schema Attributzuordnungen für „AutoServerSetup“ Open Directory-Name, RFC/Klasse LDAP-Attributname OID Active DirectoryPlug-In RecordName, RFC 2256 cn 2.5.4.3 RFC-Standard XMLPlist, von Apple registriert apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten 293 Zuordnungen für „Locations“ In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm „Verzeichnisdienste“ den Open Directory-Datensatztyp „Locations“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet. Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open Directory-Datensatztypen und -attributen generiert. Datensatztyp-Zuordnungen für „Locations“ Open Directory-Name, RFC/Klasse LDAP-Objektklassenname OID Active DirectoryPlug-In Locations, von Apple registriert apple-location 1.3.6.1.4.1.63.1000.1.1.2.18 Erweitertes Apple-Schema Attributzuordnungen für „Locations“ Open Directory-Name, RFC/Klasse LDAP-Attributname OID Active DirectoryPlug-In RecordName, RFC 2256 cn 2.5.4.3 RFC-Standard DNSDomain, von Apple registriert apple-dns-domain 1.3.6.1.4.1.63.1000.1.1.1.18.1 Erweitertes Apple-Schema DNSNameServer, von Apple registriert apple-dns-nameserver 1.3.6.1.4.1.63.1000.1.1.1.18.2 Erweitertes Apple-Schema Standardmäßige Open Directory-Datensatztypen und -attribute Informationen zu Standardattributen und -Datensatztypen in Open Directory-Domains finden Sie unter: Â „Standardattribute in Benutzerdatensätzen“ auf Seite 295 Â „Standardattribute in Gruppendatensätzen“ auf Seite 300 Â „Standardattribute in Computerdatensätzen“ auf Seite 302 Â „Standardattribute in Computergruppen-Datensätzen“ auf Seite 303 Â „Standardattribute in Mount-Datensätzen“ auf Seite 303 Â „Standardattribute in Config-Datensätzen“ auf Seite 304 Eine umfassende Liste der standardmäßigen Datensatztypen und -attribute finden Sie in folgender Datei: System/Library/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h 294 Anhang Mac OS X-Verzeichnisdaten Standardattribute in Benutzerdatensätzen In der folgenden Tabelle werden die Standardattribute beschrieben, die in Open Directory-Benutzerdatensätzen enthalten sind. Verwenden Sie diese Informationen, wenn Sie im Bereich „Detailansicht“ des Arbeitsgruppenmanagers arbeiten oder wenn Sie mit dem Programm „Verzeichnisdienste“ Attribute von Benutzerdatensätzen zuordnen. Wichtig: Wenn Sie Mac OS X-Benutzerattribute einer schreib-/lesbaren LDAP-Verzeichnis-Domain (eine LDAP-Domain, die nicht schreibgeschützt ist) zuordnen, dürfen Sie die Attribute „RealName“ und „RecordName“ nicht demselben LDAP-Attribut zuordnen. Zum Beispiel dürfen Sie nicht sowohl „RealName“ als auch „RecordName“ dem Attribut „cn“ zuordnen. Wenn „RealName“ und „RecordName“ demselben LDAP-Attribut zugeordnet werden, treten Probleme auf, wenn Sie versuchen, den vollständigen (langen) Namen oder den ersten Kurznamen im Arbeitsgruppenmanager zu bearbeiten. Mac OS X-Benutzerattribut Format Beispielwerte RecordName: Erster Wert: ASCII-Zeichen A-Z, a-z, 0-9, _, Eine Liste mit einem Benutzer Zweiter Wert: UTF-8 Roman-Text zugeordneten Namen. Beim ersten Namen handelt es sich um den Kurznamen des Benutzers, der auch als Name für den Benutzerordner verwendet wird. Wichtig: Alle für die Identifizierung verwendeten Attribute müssen „RecordName“ zugeordnet werden. Dave David Mac DMacSmith Länge nicht null, 1 bis 16 Werte. Maximal 255 Byte (85 Dreifachbyte- bis 255 Einzelbytezeichen) pro Instanz. Der erste Wert muss 1 bis 8 Byte für Clients betragen, die mit Mac OS X 10.1 (oder älter) arbeiten. RealName: Ein einzelner Name, meist der vollständige Name des Benutzers. Wird nicht für die Identifizierung verwendet. UTF-8-Text David L. MacSmith, Jr. Länge nicht null, maximal 255 Byte (85 Dreifachbytebis 255 Einzelbytezeichen). UniqueID: Eine eindeutige Benutzer-ID, verwendet für die Verwaltung der Zugriffsrechte. Mit Vorzeichen versehene 32-Bit-ASCII-Zeichenfolge aus den Ziffern 0-9 Werte unter 500 haben ggf. eine besondere Bedeutung. Werte unter 100 sind normalerweise für System-Accounts reserviert. Der Wert 0 (Null) ist für die Verwendung durch das System reserviert. Normalerweise in der gesamten Benutzerpopulation eindeutig, kann jedoch manchmal dupliziert werden. Achtung: Ein nicht als Ganzzahl geltender Wert wird als 0 interpretiert, was der „UniqueID“ des root-Benutzer-Accounts entspricht. Anhang Mac OS X-Verzeichnisdaten 295 296 Mac OS X-Benutzerattribut Format Beispielwerte PrimaryGroupID: Die primäre Gruppenzuordnung eines Benutzers. Mit Vorzeichen versehene 32-Bit-ASCII-Zeichenfolge aus den Ziffern 0-9 Der Bereich ist 1 bis 2.147.483.648. Im Normalfall eindeutiger Wert unter allen Gruppendatensätzen. Wenn leer, wird 20 angenommen. NFSHomeDirectory: Pfad des lokalen Dateisystems zum Benutzerordner. UTF-8-Text /Network/Servers/example/ Users/K-M/Tom King Länge nicht null. Maximal 255 Byte. HomeDirectory: Der Speicherort eines AFP-basierten Benutzerordners. UTF-8 XML-Text afp://server/sharept usershomedir Im folgenden Beispiel ist „K-M/ Tom King“ der Benutzerordner von Tom King, der sich unterhalb des Netzwerkordners „Users“ befindet: afp://example.com/ Users K-M/Tom King HomeDirectoryQuota: Das Festplattenkontingent für den Benutzerordner. Text für die Anzahl zulässiger Byte Beträgt das Kontingent 10 MB, lautet der Wert „1048576“. MailAttribute: Die Konfiguration des MailDiensts eines Benutzers. UTF-8 XML-Text PrintServiceUserData: Die Druckkontingent-Statistik eines Benutzers. UTF-8 XML plist, einzelner Wert MCXFlags: Wenn vorhanden, wird MCXSettings geladen. Wenn nicht vorhanden, wird MCXSettings nicht geladen. Erforderlich für einen verwalteten Benutzer. UTF-8 XML plist, einzelner Wert MCXSettings: Die verwalteten Einstellungen eines Benutzers. UTF-8 XML plist, mehrwertig Anhang Mac OS X-Verzeichnisdaten . Mac OS X-Benutzerattribut Format AdminLimits: Die Zugriffsrechte, die vom Arbeitsgruppenmanager einem Benutzer zugewiesen wurden, der die Verzeichnis-Domain verwalten kann. UTF-8 XML plist, einzelner Wert Kennwort: Das Kennwort des Benutzers. UNIX-Verschlüsselung Picture: Pfad zu einer erkannten Grafikdatei, die als Bild für den Benutzer verwendet wird. UTF-8-Text Maximal 255 Byte. Comment: Jede beliebige Dokumentation. UTF-8-Text John ist für das ProduktMarketing zuständig. Maximal 32.676 Byte. UserShell: Der Speicherort der StandardShell für Interaktionen mit dem Server über die Befehlszeile. Pfadname /bin/tcsh /bin/sh Keiner. Dieser Wert verhindert, dass Benutzer mit Accounts in der Verzeichnis-Domain entfernt über eine Befehlszeile auf den Server zugreifen. Länge nicht null. Change: Wird nicht von Mac OS X verwendet, aber entspricht einem Teil des StandardLDAP-Schemas. Zahl Expire: Wird nicht von Mac OS X verwendet, aber entspricht einem Teil des StandardLDAP-Schemas. Zahl Anhang Mac OS X-Verzeichnisdaten Beispielwerte 297 Mac OS X-Benutzerattribut Format Beispielwerte AuthenticationAuthority: ASCII-Text Beschreibt die Identifizierungsmethoden des Benutzers, etwa Open Directory, „Shadow“-Kennwort oder „Crypt“-Kennwort. Nicht erforderlich für einen Benutzer mit lediglich einem „Crypt“-Kennwort. Fehlt dieses Attribut, wird eine ältere Identifizierungsmethode verwendet („Crypt“-Kennwort mit Identifizierungsmanager, falls verfügbar). Werte beschreiben die Identifizierungsmethoden des Benutzers. Kann mit mehreren Werten versehen werden (z. B. ;ApplePasswordServer; und ;Kerberosv5;). Jeder Wert hat das Format vers; tag; data (wobei vers und data nicht leer sein dürfen). „Crypt“-Kennwort: ;basic; Open Directory-Kennwort: ;ApplePasswordServer; HexID, IP-Adresse des öffentlichen ServerSchlüssels:port ;Kerberosv5; Kerberos-Daten „Shadow“-Kennwort (nur lokale Verzeichnis-Domain): Â ;ShadowHash; Â ;ShadowHash; AuthenticationHint: Vom Benutzer als Kennworterinnerung festgelegter Text. UTF-8-Text Ihre Schätzung ist so gut wie meine. Maximal 255 Byte. Jede legale RFC 822-E-MailAdresse FirstName: Wird vom Adressbuch und anderen Programmen verwendet, die den Suchpfad für Kontakte verwenden. LastName: Wird vom Adressbuch und anderen Programmen verwendet, die den Suchpfad für Kontakte verwenden. EMailAddress: Eine E-Mail-Adresse, an die E-Mails weitergeleitet werden sollen, wenn ein Benutzer kein Attribut „MailAttribute“ definiert hat. Wird von Adressbuch, Mail und anderen Programmen verwendet, die den Suchpfad für Kontakte verwenden. 298 Anhang Mac OS X-Verzeichnisdaten Mac OS X-Benutzerattribut Format Beispielwerte PhoneNumber: Wird vom Adressbuch und anderen Programmen verwendet, die den Suchpfad für Kontakte verwenden. AddressLine1: Wird vom Adressbuch und anderen Programmen verwendet, die den Suchpfad für Kontakte verwenden. PostalAddress: Wird vom Adressbuch und anderen Programmen verwendet, die den Suchpfad für Kontakte verwenden. PostalCode: Wird vom Adressbuch und anderen Programmen verwendet, die den Suchpfad für Kontakte verwenden. OrganizationName: Wird vom Adressbuch und anderen Programmen verwendet, die den Suchpfad für Kontakte verwenden. Von Mac OS X Server verwendete Benutzerdaten Die folgende Tabelle beschreibt, wie Mac OS X Server Daten aus Benutzerdatensätzen in Verzeichnis-Domains verwendet. Dieser Tabelle können Sie die Attribute oder Datentypen entnehmen, die die Dienste Ihres Servers in Benutzereinträgen von VerzeichnisDomains erwarten. Der Eintrag „Alle Dienste“ ganz links in der Tabelle umfasst AFP, SMB, FTP, HTTP, NFS, WebDAV, POP, IMAP, Arbeitsgruppenmanager, Server-Admin und das Mac OS XAnmeldefenster. Serverkomponente Mac OS X-Benutzerattribut Abhängigkeit Alle Dienste RecordName Für Identifizierung erforderlich Alle Dienste RealName Für Identifizierung erforderlich Alle Dienste AuthenticationAuthority Verwendet für die Identifizierung mittels Kerberos, Kennwortserver und „Shadow“-Kennwort Anhang Mac OS X-Verzeichnisdaten 299 Serverkomponente Mac OS X-Benutzerattribut Abhängigkeit Alle Dienste Kennwort Verwendet für einfache Identifizierung („Crypt“-Kennwort) oder für identifizierte LDAPVerzeichnisbindung Alle Dienste UniqueID Für Berechtigung erforderlich (z. B. Dateiberechtigungen und E-Mail-Accounts) Alle Dienste PrimaryGroupID Für Berechtigung erforderlich (z. B. Dateiberechtigungen und E-Mail-Accounts) FTP-Dienst Webdienst Apple-Dateidienst NFS-Dienst Mac OS X-Anmeldefenster Programm- und Systemeinstellungen HomeDirectory NFSHomeDirectory Optional Mail-Dienst MailAttribute Für die Anmeldung beim Mail-Dienst auf Ihrem Server erforderlich Mail-Dienst EMailAddress Optional Standardattribute in Gruppendatensätzen In der folgenden Tabelle werden die Standardattribute beschrieben, die in Open Directory-Gruppendatensätzen enthalten sind. Verwenden Sie diese Informationen, wenn Sie im Fenster „Detailansicht“ des Arbeitsgruppenmanagers arbeiten oder mit dem Programm „Verzeichnisdienste“ Gruppenattribute zuweisen. 300 Mac OS X-Gruppenattribut Format Beispielwerte RecordName: Name, der einer Gruppe zugeordnet ist ASCII-Zeichen A-Z, a-z, 0-9, _ Science Science_Dept Science.Teachers Länge nicht null, maximal 255 Byte (85 Dreifachbytebis 255 Einzelbytezeichen). RealName: Normalerweise der vollständige Name der Gruppe UTF-8-Text Science Department Teachers Länge nicht null, maximal 255 Byte (85 Dreifachbytebis 255 Einzelbytezeichen). PrimaryGroupID: Ein eindeutiger Bezeichner für die Gruppe Mit Vorzeichen versehene 32-Bit-ASCII-Zeichenfolge aus den Ziffern 0-9 Im Normalfall eindeutiger Name unter allen Gruppendatensätzen. Anhang Mac OS X-Verzeichnisdaten Mac OS X-Gruppenattribut Format Beispielwerte GroupMembership: Eine Liste von Kurznamen der Benutzerdatensätze, die als Teil der Gruppe angesehen werden ASCII-Zeichen A-Z, a-z, 0-9, _, -, - bsmith, jdoe Kann eine leere Liste sein (normalerweise für die Primärgruppe des Benutzers). HomeDirectory: Der Speicherort eines AFPbasierten Benutzerordners für die Gruppe Strukturierter UTF-8-Text afp://server/sharept grouphomedir Im folgenden Beispiel ist „K-M/ Science“ der Benutzerordner der Gruppe „Science“, der sich unterhalb des Netzwerkordners „Groups“ befindet: afp://example.com/ Groups K-M/Science Member: Gleiche Daten wie GroupMembership, beide werden jedoch von unterschiedlichen Diensten von Mac OS X Server verwendet ASCII-Zeichen A-Z, a-z, 0-9, _, -, - bsmith, jdoe Kann eine leere Liste sein (normalerweise für die Primärgruppe des Benutzers). HomeLocOwner: Der Kurzname des Benutzers, der als Eigentümer des Benutzerordners der Gruppe gilt ASCII-Zeichen A-Z, a-z, 0-9, _, -, - MCXFlags: Wenn vorhanden, wird MCXSettings geladen. Wenn nicht vorhanden, wird MCXSettings nicht geladen. Erforderlich für einen verwalteten Benutzer. UTF-8 XML plist, einzelner Wert MCXSettings: Die Einstellungen für eine Arbeitsgruppe (eine verwaltete Gruppe) UTF-8 XML plist, mehrwertig Anhang Mac OS X-Verzeichnisdaten 301 Standardattribute in Computerdatensätzen In der folgenden Tabelle werden die Standardattribute beschrieben, die in Open Directory-Computerdatensätzen enthalten sind. Computerdatensätze dienen dazu, die Hardwareadresse der primären Ethernet-Schnittstelle eines Computers einem Namen für den Computer zuzuordnen. Der Name ist Teil eines Computergruppen-Datensatzes (ähnlich wie ein Benutzer Teil einer Gruppe ist). Verwenden Sie diese Informationen, wenn Sie im Bereich „Detailansicht“ des Arbeitsgruppenmanagers arbeiten oder wenn Sie mit dem Programm „Verzeichnisdienste“ Attribute von Computerdatensätzen zuordnen. 302 Mac OS X-Computer-Attribut Format Beispielwerte RecordName: Der einem Computer zugeordnete Name. UTF-8-Text iMac 1 Comment: Jede beliebige Anmerkung. UTF-8-Text EnetAddress: Der Wert dieses Attributs muss der Ethernetadresse (auch als MAC-Adresse bezeichnet) der integrierten Ethernetschnittstelle des Computers entsprechen, auch wenn der Computer über eine andere Netzwerkschnittstelle wie AirPort auf das Verzeichnis zugreift. Durch Doppelpunkte getrennte Hexadezimalschreibweise; führende Nullen können weggelassen werden MCXFlags: Nur im Computerdatensatz „guest“ verwendet. Wenn vorhanden, wird MCXSettings geladen. Wenn nicht vorhanden, wird MCXSettings nicht geladen. Erforderlich für einen verwalteten Computer. UTF-8 XML plist, einzelner Wert MCXSettings: Nur im Computerdatensatz „guest“ verwendet. Bezeichnet die Einstellungen eines verwalteten Computers. UTF-8 XML plist, mehrwertig Anhang Mac OS X-Verzeichnisdaten 00:05:02:b7:b5:88 Standardattribute in Computergruppen-Datensätzen In der folgenden Tabelle werden die Standardattribute beschrieben, die in Open Directory-Computergruppen-Datensätzen enthalten sind. Ein ComputergruppenDatensatz identifiziert eine Gruppe an Computern (ähnlich wie ein Gruppendatensatz eine Reihe an Benutzern identifiziert). Verwenden Sie diese Informationen, wenn Sie im Bereich „Detailansicht“ des Arbeitsgruppenmanagers arbeiten oder wenn Sie mit dem Programm „Verzeichnisdienste“ Attribute von Computergruppen-Datensätzen zuordnen. Mac OS X-ComputergruppenAttribute Format Beispielwerte RecordName: Der einer Computergruppe zugeordnete Name. UTF-8-Text Laborcomputer Länge nicht null, maximal 255 Byte (85 Dreifachbytebis 255 Einzelbytezeichen). MCXFlags UTF-8 XML plist, einzelner Wert MCXSettings: Speichert Einstellungen für einen verwalteten Computer UTF-8 XML plist, mehrwertig Computers Mehrwertige Liste mit Computer- iMac 1, iMac 2 Datensatznamen Gruppe Eine Liste der Gruppen, deren Mitglieder sich bei den Computern in dieser Computergruppe anmelden Mehrwertige Liste mit Kurznamen von Gruppen herbivores,omnivores Standardattribute in Mount-Datensätzen In folgender Tabelle werden die Standardattribute beschrieben, die in Open DirectoryMount-Datensätzen enthalten sind. Verwenden Sie diese Informationen, wenn Sie im Bereich „Detailansicht“ des Arbeitsgruppenmanagers arbeiten oder wenn Sie mit dem Programm „Verzeichnisdienste“ Attribute von Mount-Datensätzen zuordnen. Mac OS XMount-Attribute Format Beispielwerte RecordName: Host und Pfad des Netzwerkvolumes UTF-8-Text hostname:/path on server indigo:/Volumes/home2 VFSLinkDir: Pfad für die Aktivierung auf einem Client UTF-8-Text /Network/Servers Anhang Mac OS X-Verzeichnisdaten 303 Mac OS XMount-Attribute Format Beispielwerte VFSType ASCII-Text Für AFP: url Für NFS: nfs VFSOpts UTF-8-Text Für AFP (zwei Werte): net url==afp:// ;AUTH=NO%20USER%20 AUTHENT@server/sharepoint/ Für NFS: net VFSDumpFreq VFSPassNo Standardattribute in Config-Datensätzen In folgender Tabelle werden die Standardattribute beschrieben, die in den folgenden Open Directory-Config-Datensätzen enthalten sind. Â Der Datensatz „mcx_cache“ hat immer den Wert „mcx_cache“ für „RecordName“. Er verwendet auch „RealName“ und „DataStamp“ für die Festlegung, ob der Cache aktualisiert oder die Servereinstellungen ignoriert werden sollten. Wenn Sie verwaltete Clients verwenden wollen, benötigen Sie einen Config-Datensatz „mcx_cache“. Â Der Datensatz „passwordserver“ verfügt über das Attribut „PasswordServerLocation“. Verwenden Sie diese Informationen, wenn Sie im Fenster „Detailansicht“ des Arbeitsgruppenmanagers arbeiten oder mit dem Programm „Verzeichnisdienste“ Attribute für Config-Datensätze zuweisen. 304 Mac OS X-Config-Attribute Format RecordName: Name, der einer Konfiguration zugeordnet ist ASCII-Zeichen A–Z, a–z, 0–9, _, -, . mcx_cache passwordserver Länge nicht null, maximal 255 Byte (85 Dreifachbytebis 255 Einzelbytezeichen). Beispielwerte PasswordServerLocation: IP-Adresse oder Host-Name Identifiziert den Host des Kennwortservers, der der VerzeichnisDomain zugeordnet ist 192.168.1.90 RealName Für den Config-Datensatz „mcx_cache“ ist „RealName“ eine GUID. DataStamp Für den Config-Datensatz „mcx_cache“ ist „DataStamp“ eine GUID. Anhang Mac OS X-Verzeichnisdaten Glossar Glossar Active Directory Der Verzeichnis- und Identifizierungsdienst von Microsoft Windows 2000 Server, Windows Server 2003 und Windows Server 2003 R2. Administrator Ein Benutzer mit Verwaltungsrechten für einen Server oder eine Verzeichnis-Domain. Administratoren sind grundsätzlich Mitglieder der vordefinierten „admin“-Gruppe. Administratorcomputer Ein Mac OS X-Computer, auf dem die Programme für die Serververwaltung von der CD „Mac OS X Server-Admin“ installiert wurden. AFP Apple Filing Protocol. Ein Client-/Serverprotokoll, das der Apple-Dateidienst für die gemeinsame Nutzung von Dateien und Netzwerkdiensten verwendet. AFP verwendet TCP/IP und andere Protokolle zur Unterstützung der Kommunikation zwischen Computern in einem Netzwerk. Attribut Ein benanntes Datenobjekt, das einen bestimmten Informationstyp enthält und zu einem Eintrag (Datensatz oder Objekt) in einer Verzeichnis-Domain gehört. Die tatsächlichen Daten eines Attributs stellen dessen Wert dar. Authentication Authority, Attribut Ein Wert, der das für einen Benutzer angegebene Kennwortprüfschema angibt und bei Bedarf zusätzliche Informationen bereitstellt. Autorisierung Das Verfahren, mit dem ein Server festlegt, ob ein Benutzer Zugriff auf eine bestimmte Ressource erhält und welche Berechtigungsebenen dem Benutzer zugewiesen werden. In der Regel erfolgt die Autorisierung erst, nachdem durch die Identifikationsüberprüfung die Identität des Benutzers bestätigt wurde. So erteilt beispielsweise der Dateidienst einem Benutzer, dessen Identifikationsüberprüfung erfolgreich abgeschlossen wurde, alle Zugriffsrechte für dessen Ordner und Dateien. Benutzername Der Langname eines Benutzers, auch als „vollständiger Name“ bezeichnet. Vgl. auch Kurzname, Langname. Bindung Eine Verbindung zwischen einem Computer und einer Verzeichnis-Domain zum Abrufen von Identifizierungs- und Autorisierungsdaten und anderen Verwaltungsdaten. Vgl. auch Vertrauenswürdige Bindung. 305 Bonjour Ein von Apple entwickeltes Protokoll zur automatischen Erkennung von Computern, Geräten und Diensten in IP-Netzwerken. Dieses Internet-Standardprotokoll wird von Apple als „Bonjour“ bezeichnet und wird gelegentlich auch „ZeroConf“ oder „Multicast-DNS“ genannt. Weitere Informationen finden Sie unter: www.apple.com oder www.zeroconf.org. Zur Verwendung dieses Protokolls im Zusammenhang mit Mac OS X Server finden Sie unter Lokaler Hostname. BSD Berkeley Software Distribution. UNIX Version, auf der die Mac OS X Software basiert. CIFS Common Internet File System. Vgl. SMB. Computer-Account Ein Computer-Account speichert Daten, mit denen Mac OS X Server einen einzelnen Computer identifizieren und verwalten kann. Sie erstellen einen Computer-Account für jeden Computer, den Sie zu einer Computergruppe hinzufügen möchten. Computerliste Eine Reihe von Computern, auf die alle verwalteten Einstellungen angewendet werden, die für die Liste festgelegt wurden. Alle Computer stehen einer bestimmten Auswahl von Benutzern und Gruppen zur Verfügung. Ein Computer kann Mitglied nur einer Computerliste sein. Computerlisten werden in Mac OS X Server Version 10.4 (oder älter) erstellt. Cracker Ein Benutzer mit böswilligen Absichten, der unberechtigten Zugriff auf ein Computersystem erhalten will, um Computer und Netzwerke zu stören oder Informationen zu stehlen. Vgl. Hacker. „Crypt“-Kennwort Ein Kennworttyp, der als Prüfsumme (unter Verwendung des standardmäßigen UNIX Verschlüsselungsalgorithmus) direkt in einem Benutzerdatensatz gespeichert wird. DHCP Dynamic Host Configuration Protocol. Ein Protokoll für die dynamische Verteilung von IP-Adressen an Client-Computer. Bei jedem Starten eines Client-Computers sucht das Protokoll nach einem DHCP-Server und fordert eine IP-Adresse von diesem Server an. Der DHCP-Server sucht nach einer verfügbaren IP-Adresse und sendet sie zusammen mit einer Lease-Dauer – der Zeitspanne, während der der Client-Computer die Adresse nutzen darf – an den Client-Computer. Distinguished Name (DN) Bezeichnet einen Eintrag (ein Objekt) in einem LDAP-Verzeichnis. Dargestellt als eine Sequenz von durch Kommas getrennten Verzeichniseinträgen, beginnend mit dem Eintrag selbst und gefolgt von den anderen Objekten, die jeweils ihr eigenes Attribut Eintrag hinzufügen. Beispiel: „cn=users, dc=example, dc=com“. 306 Glossar Eigenständiger Server Ein Server, der Dienste in einem Netzwerk bereitstellt, jedoch keine Verzeichnisdienste von einem anderen Server erhält oder diese anderen Computern bietet. Eigentümer Der Eigentümer eines Objekts kann die Zugriffsberechtigungen eines Objekts ändern. Der Eigentümer kann auch den Gruppeneintrag in eine beliebige Gruppe ändern, deren Mitglied der Eigentümer ist. Standardmäßig verfügt der Eigentümer über Lese- und Schreibrechte. FTP File Transfer Protocol. Ein Protokoll, das Computern das Übertragen von Dateien über ein Netzwerk ermöglicht. FTP-Clients mit einem beliebigen Betriebssystem, das FTP unterstützt, können in Abhängigkeit von den jeweiligen Zugriffsrechten eine Verbindung zu Ihrem File Server herstellen und Dateien laden. Die meisten InternetBrowser und eine Reihe von Freeware-Programmen können für den Zugriff auf einen FTP-Server genutzt werden. Gastbenutzer Ein Benutzer, der sich ohne Benutzername oder Kennwort bei Ihrem Server anmelden kann. Gesamtauthentifizierung (Single Sign-On) Eine Strategie zur Identifizierung, die Benutzern erspart, für jeden Netzwerkdienst einen Namen und ein Kennwort eingeben zu müssen. Mac OS X Server verwendet Kerberos zur Umsetzung der Gesamtauthentifizierung. Gruppe Ein Benutzerkollektiv mit ähnlichen Anforderungen. Die Unterteilung in Gruppen vereinfacht die Verwaltung gemeinsamer Ressourcen. Gruppenordner Ein Ordner, in dem Dokumente und Programme verwaltet werden, die für Gruppenmitglieder wichtig sind und über den Gruppenmitglieder Informationen untereinander austauschen können. Hacker Ein Technik- und Programmierenthusiast, der versucht, die Fähigkeiten und Funktionen eines Computersystems zu ergründen (oder auch unberechtigterweise in fremde Systeme einzudringen). Vgl. auch Cracker. Identifizierung Der Prozess, bei dem die Identität des Benutzers verifiziert wird (meist durch Prüfung eines Benutzernamens und eines Kennworts). In der Regel erfolgt zuerst die Identifikationsüberprüfung, bevor in einem separaten Autorisierungsprozess anhand der Zugriffsrechte eines Benutzers eine bestimmte Ressource freigegeben wird. So wird beispielsweise einem identifizierten Benutzer vom Dateidienst die Berechtigung zum uneingeschränkten Zugriff auf die eigenen Ordner und Dateien erteilt. IP Internet Protocol. Auch unter der Abkürzung IPv4 bekannt. Eine bei Transmission Control Protocol (TCP) zum Senden von Daten zwischen Computern über ein lokales Netzwerk oder das Internet verwendete Methode. IP überträgt Datenpakete und TCP protokolliert Datenpakete. Glossar 307 IP-Adresse Eine eindeutige numerische Adresse zur Identifizierung eines Computers im Internet. KDC Kerberos Key Distribution Center. Ein vertrauenswürdiger Server, der KerberosTickets ausgibt. Kennwort Eine alphanumerische Zeichenfolge, mit der die Identität eines Benutzers bestätigt oder der Zugriff auf Dateien oder Dienste genehmigt wird. Kennwortserver Vgl. Open Directory-Kennwortserver. Kerberos Ein sicheres System zur Netzwerkidentifikationsüberprüfung. Kerberos arbeitet mit Tikkets, die für einen bestimmten Benutzer, Server und Zeitpunkt vergeben werden. Nachdem ein Benutzer identifiziert wurde, ist der Zugriff auf weitere Dienste ohne erneute Eingabe eines Kennworts möglich (Gesamt-Authentifizierung genannt). Dies gilt für Dienste, die für die Annahme von Kerberos-Tickets konfiguriert wurden. Mac OS X Server verwendet Kerberos v5. Kerberos-Realm Die Domain für die Identifikationsüberprüfung, die die Benutzer und Dienste umfasst, die beim gleichen Kerberos Server registriert sind. Die registrierten Benutzer und Dienste verlassen sich auf den Kerberos-Server beim Überprüfen der jeweiligen Identität. Klasse Vgl. Objektklasse. Kurzname Ein abgekürzter Name für einen Benutzer. Der Kurzname wird von Mac OS X für Privatordner, Identifizierung und E-Mail-Adressen verwendet. Langname Die lange Form eines Benutzer- oder Gruppennamens. Vgl. auch Benutzername. LDAP Lightweight Directory Access Protocol. Ein standardmäßiges Client/ServerProtokoll für den Zugriff auf eine Verzeichnis-Domain. Lokale Domain Eine Verzeichnis-Domain, auf die nur der Computer zugreifen kann, auf dem sie sich befindet. Lokaler Hostname Ein Name, der einen Computer in einem lokalen Teilnetzwerk bezeichnet. Er kann ohne globales DNS-System dazu verwendet werden, Namen zu IP-Adressen aufzulösen. Er besteht aus Kleinbuchstaben, Zahlen oder Bindestrichen (dies gilt nicht für die letzten Zeichen) und endet mit „.local“ (z. B. „billscomputer.local“). Der Standardname wird zwar vom Computernamen abgeleitet, aber ein Benutzer kann diesen Namen in der Systemeinstellung „Sharing“ festlegen. Er kann problemlos geändert und überall als DNS-Name oder qualifizierter Domain Name verwendet werden. Er kann nur im gleichen Teilnetzwerk aufgelöst werden, zu dem der ihn verwendende Computer gehört. 308 Glossar Mac OS X Die neuste Version des Apple-Betriebssystems. Mac OS X verbindet die Zuverlässigkeit von UNIX mit der Benutzerfreundlichkeit des Macintosh. Mac OS X Server Eine leistungsfähige Serverplattform, die Macintosh-, Windows-, UNIX- und Linux-Clients sofortige Unterstützung bietet und eine ganze Reihe skalierbarer Arbeitsgruppen- und Netzwerkdienste und leistungsstarke Programme für die Fernverwaltung zur Verfügung stellt. NetInfo Ein älteres Apple-Protokoll für den Zugriff auf eine Verzeichnis-Domain. Netzwerkvolume Ein Ordner, eine Festplatte (oder Festplattenpartition) oder ein optisches Laufwerk, der/die/das im Netzwerk verfügbar ist. Ein Netzwerkordner ist der Zugriffspunkt auf der obersten Ebene einer Gruppe von Netzwerkobjekten. Netzwerkordner können mithilfe von AFP, SMB, NFS (Export) oder FTP bereitgestellt werden. Objektklasse Ein Satz von Regeln, die ähnliche Objekte in einer Verzeichnis-Domain definieren, in dem sie Attribute angeben, die jedes Objekt haben muss, und andere Attribute, die jedes Objekt haben kann. Open Directory Die Apple-Architektur der Verzeichnisdienste, die auf Berechtigungsinformationen über Benutzer und Netzwerkressourcen in Verzeichnis-Domains zugreifen kann, die LDAP, Active Directory-Protokolle oder BSD-Konfigurationsdateien sowie Netzwerkdienste verwenden. Open Directory Master Ein Server, der einen LDAP-Verzeichnisdienst, Kerberos-Identifizierungsdienst und Open Directory-Kennwortserver bereitstellt. Open Directory-Kennwort Ein in einer sicheren Datenbank auf dem Server gespeichertes Kennwort, das mit Open Directory-Kennwortserver oder Kerberos identifiziert werden kann (wenn Kerberos zur Verfügung steht). Open Directory-Kennwortserver Ein Identifizierungdienst, der Kennwörter mithilfe einer Vielzahl an konventionellen Identifizierungsmethoden überprüft, die für die verschiedenen Dienste von Mac OS X Server erforderlich sind. Die Identifizierungsmethoden umfassen APOP, CRAM-MD5, DHX, LAN Manager, NTLMv1, NTLMv2 und WebDAV-Digest. Open-Source Eine Bezeichnung für die gemeinschaftliche Entwicklung von Software durch die Internet-Community. Das Grundprinzip besteht darin, so viele Personen wie möglich am Schreiben und Debugging von Code zu beteiligen, indem der Quellcode veröffentlicht und die Bildung einer großen Community von Entwicklern gefördert wird, die Änderungen und Erweiterungen einreichen. Primärgruppe Die Standardgruppe eines Benutzers. Das Dateisystem verwendet die ID der Primärgruppe, wenn ein Benutzer auf eine Datei zugreift, deren Eigentümer er nicht ist. Glossar 309 Primärgruppen-ID Eine Nummer, durch die eine Primärgruppe eindeutig identifiziert wird. Prinzipal, Kerberos Der Name und andere identifizierende Informationen eines Clients oder Diensts, den Kerberos identifizieren kann. Ein Benutzer-Prinzipal ist normalerweise der Name eines Benutzers bzw. der Name eines Benutzers und der Kerberos-Realm. Ein Dienst-Prinzipal ist in der Regel der Dienst-Name, der vollständig qualifizierte DNS-Name eines Servers und der Kerberos-Realm. Protokoll Eine Gruppe von Regeln, über die festgelegt wird, in welcher Form Daten zwischen zwei Programmen ausgetauscht werden müssen. Prüfsumme (Hash) Eine verschlüsselte Form eines Kennworts oder anderen Texts. Schema Die Sammlung von Attributen und Datensatztypen oder Klassen, die eine Kopie für die Informationen in einer Verzeichnis-Domain enthalten. „Shadow“-Kennwort Ein Kennwort, das in einer sicheren Datei auf dem Server gespeichert ist und mit einer Vielzahl an konventionellen Identifizierungsmethoden verifiziert werden kann, die für die verschiedenen Dienste von Mac OS X Server erforderlich sind. Die Identifizierungsmethoden umfassen APOP, CRAM-MD5, DHX, LAN Manager, NTLMv1, NTLMv2 und WebDAV-Digest. SLP DA Service Location Protocol Directory Agent. Ein Protokoll, das die in einem Netzwerk verfügbaren Dienste registriert und den Benutzern einfachen Zugriff auf diese Dienste ermöglicht. Wenn zum Netzwerk ein Dienst hinzugefügt wird, registriert sich der Dienst mithilfe von SLP im Netzwerk. SLP DA nutzt ein zentralisiertes Repository für registrierte Netzwerkdienste. SMB Server Message Block. Ein Protokoll, das Client-Computern den Zugriff auf Dateien und Netzwerkdienste ermöglicht. Es kann über TCP/IP, das Internet und andere Netzwerkprotokolle genutzt werden. SMB-Dienste stellen über SMB Zugriff auf Server, Drucker und andere Netzwerkressourcen bereit. SSL Secure Sockets Layer. Ein Internet-Protokoll, das das Senden verschlüsselter authentifizierter Informationen über das Internet ermöglicht. Neuere Versionen von SSL sind unter der Bezeichnung TLS (Transport Level Security) bekannt. Suchbeginn Ein Name, der angibt, wo die Suche nach Informationen in einer Hierarchie mit Einträgen in einem LDAP-Verzeichnis beginnt. Suchpfad Eine Liste von Verzeichnis-Domains, die von einem Mac OS X-Computer, der Konfigurationsinformationen benötigt, durchsucht werden. Bezeichnet auch die Reihenfolge, in der Domains durchsucht werden. Wird manchmal als Suchpfad bezeichnet. Suchrichtlinie Vgl. Suchpfad. 310 Glossar Ticket für die Ticketverteilung Ein spezielles Kerberos-Ticket, mit dem ein Client Tickets für Dienste im selben Realm anfordern kann. Ein Client erhält ein Ticket für die Ticketverteilung durch Bestätigung der Identität, etwa durch Eingabe eines gültigen Namens und Kennworts bei der Anmeldung. Ticket, Kerberos. Ein temporärer Berechtigungsnachweis, der die Identität eines Kerberos-Clients gegenüber einem Dienst bestätigt. Übergeordneter Computer. Ein Computer, dessen freigegebene Verzeichnis-Domain Konfigurationsinformationen für andere Computer bereitstellt. Untergeordneter Computer. Ein Computer, der Konfigurationsinformationen aus der freigegebenen Verzeichnis-Domain eines übergeordneten Computers erhält. Vertrauenswürdige Bindung. Eine gegenseitig identifizierte Verbindung zwischen einem Computer und einer Verzeichnis-Domain. Der Computer stellt Zertifikate zur Bestätigung seiner Identität bereit und die Verzeichnis-Domain gibt ebenfalls Zertifikate zur Bestätigung ihrer Identität an. Verwaltete Einstellungen. System- oder Programmeinstellungen, die unter administrativer Kontrolle sind. Mithilfe des Arbeitsgruppenmanagers können Administratoren die Werte bestimmter Systemeinstellungen für verwaltete Mac OS X-Clients festlegen. Verwalteter Client. Benutzer, Arbeits-/Benutzergruppe oder Computer, dessen/deren Zugriffsrechte und/oder Einstellungen unter administrativer Kontrolle sind. Verzeichnis-Domain. Eine spezialisierte Datenbank, in der Berechtigungsinformationen über Benutzer und Netzwerkressourcen gespeichert werden, die von der Systemsoftware und den Programmen benötigt werden. Die Datenbank ist für die gleichzeitige Bearbeitung zahlreicher Anfragen sowie das schnelle Suchen und Abrufen von Informationen optimiert. Wird auch als Verzeichnisknoten oder einfach als Verzeichnis bezeichnet. Verzeichnis-Domain-Hierarchie. Methode zur Verwaltung lokaler und freigegebener Verzeichnis-Domains. Eine Hierarchie hat eine umgekehrte Baumstruktur mit einer root-Domain auf der obersten und lokalen Domains auf den unteren Ebenen. Verzeichnisdienste. Dienste, die der Systemsoftware und Programmen einheitlichen Zugriff auf Verzeichnis-Domains und andere Informationsquellen zu Benutzern und Ressourcen ermöglichen. Verzeichnisknoten. Vgl. Verzeichnis-Domain. WebDAV. (Web-based Distributed Authoring and Versioning.) Eine Live-AuthoringUmgebung, in der Client-Benutzer Webseiten abrufen, Änderungen daran vornehmen und sie wieder zurückstellen können, während die Website aktiv ist. WebDAV-Bereich Bereich (Realm) einer Website, normalerweise ein Ordner oder Verzeichnis, der/das für den Zugriff durch WebDAV-Benutzer und -Gruppen definiert ist. Glossar 311 A Accounts Administrator 97, 197 root 141, 142, 238 Vgl. auch Arbeitsgruppenmanager, BenutzerAccounts, Gruppen-Accounts, Mobile Accounts ACEs (Access Control Entries) 86 acl, Attribut 276 acl, Objektklasse 255 ACLs (Access Control Lists) 46, 85, 86, 207 Active Directory Administratorgruppen 197 Benutzer-IDs 194 Benutzerordner 187, 192 bevorzugte Bestimmung 197 Bindung 190, 199 zum Server lösen 199 Client-Verbindungen 139 Datensätze bearbeiten 200 Definition 28 Dienst aktivieren 154 deaktivieren 154 Domain-übergreifende Identifizierung 80 erweiterte Einstellungen 154, 185 Fehlerbeseitigung 237, 240 Gruppen-IDs 195, 196 Identifizierung 198 Kerberos-Konflikte 82 LDAP-Zugriff 200 mobile Accounts 187, 191 Open Directory-Konfiguration 70 Serverkonfiguration 110 UNIX-Shell-Attribut 193 zugreifen 188 Vgl. auch Zuordnungen Administrator Accounts 97, 197 Berechtigung zur Identifizierung 99, 101, 106, 132, 133 Domains planen 41 Einschränkungen 258 Index Index Kennwörter 52, 127, 128, 238, 243 Kerberos 54, 112 Suchpfade 41 Verzeichnisdienste 21 Zugriffsrechte 86, 87 Zugriffssteuerung 86, 207 Adressbuch 43, 149, 156 Adressen. Vgl. Ethernet-ID, IP-Adressen, NAT Aktivieren automatisches 27, 255, 277 Aktivierungspunkt-Eintrag, Typ 147, 148 Anmeldebild 258 Anmeldung Anmeldebild 258 Benutzeranleitungen 98 beschleunigen 74 Fehlerbeseitigung 239 fehlgeschlagene Versuche 211 Kennwörter 48 mobile Accounts 77 Verzeichnis-Domains 26, 72 Windows-Konfigurationsberechtigung 99 Zugriffssteuerung 206 APOP (Authenticated POP) 60, 64 Arbeitsgruppenmanager Benutzer-Accounts löschen 215 Detailansicht 212, 213, 214, 215 Funktionen 90 Identifizierungsfunktion 119 LDAP-Verzeichnisse 184 und Open Directory 22 Verzeichnisdaten bearbeiten 212 Attribute acl 276 Active Directory 196 authentication 273 automount 277 Benutzer 295, 299 Computer 302 computer 270 Computergruppe 303 computerlist 270 Configuration 182, 304 313 configuration 271 contact information 261 Einführung 28 group 263 hinzufügen 82, 174 Identifizierung 50, 135, 215, 259, 273 importieren 217 LDAP 172 location 274 Machine 266 Mount 303 mount 267 neighborhood 275 passwords 271 Printer 258 printer 269 replication 272 resource 276 schema 276 service 271, 274 service-url 271 standard 294 TTL 256 UNIX-Shell 193 user 256, 273 Verzeichnis 186 Verzeichnisdienste 174 xmlplist 271 Vgl. auch Zuordnungen Attribute zur Berechtigung der Identifizierung 50, 135, 215 augment, Objektklasse 255 Ausfallumschaltung BDC 35, 98, 105, 225 Konfiguration 106 Lastausgleich 76 PDC 35 authentication, Attribute 273 authentication authority, Objektklasse 253 authentication authority-Attribute 273 automount, Attribut 277 automount, Objektklasse 255 Autorisierung Vgl. auch Identifizierung AutoServerSetup, Datensatztyp 293 B Backup-Domain-Controller. Vgl. BDC Basic Authentication. Vgl. Crypt-Kennwörter BDC (Backup-Domain-Controller) 35, 98, 105, 225 Befehlszeilenprogramme Änderungen am Kurznamen 216 Benutzer oder Computer löschen 215 Kennwörter 128, 132 Server wiederherstellen 231, 233 SSH 206 314 Index Überblick 90 Verzeichniskonfiguration 186 Benutzer Anmeldung 98, 258 Datensatztypen 290 Domain-übergreifende Identifizierung 80 exportieren 134 Fehlerbeseitigung bei der Identifizierung 238, 239, 240, 242 identifizieren 46, 51, 53, 114 Migration 136 Speicher für Einstellungen 27 Verwendungsmöglichkeiten für VerzeichnisDomains 26, 30, 31 Vorteile von Verzeichnisdiensten 21 Windows 33, 34, 99 Zugriffsrechte 87, 180, 184 Zugriffssteuerung 186, 205, 206, 238 Zuordnungen 183, 194, 278, 290 Vgl. auch Arbeitsgruppenmanager, BenutzerAccounts, Benutzerordner, Clients Benutzer und Gruppen finden Vgl. auch Suchen Benutzer-Accounts bearbeiten 200 Benutzernamen 97 exportieren 134 importieren 134, 216 Kennwörter 64, 238 löschen 215 root 141, 142, 238 Sicherheit 49 suchen 30, 31 Verzeichnis-Domains 68, 82, 94 zugreifen 186 Vgl. auch Benutzer, Gruppen-Accounts, Kennwörter Benutzername 97 Benutzerordner Active Directory 187, 192 group-Attribute 263 lokaler Benutzer 192 Netzwerk 192 user-Attribute 256, 259, 263 Verwendungsmöglichkeiten für VerzeichnisDomains 27 Berechtigung 46, 80, 85, 86, 87, 207 Berechtigungen gestufte Verwaltung 87 Ressourcentyp 208 Zugriff 207 Berkeley DB 11, 71 Berkeley Software Distribution. Vgl. BSD Bindung Active Directory 199 LDAP-Identifizierung 64, 133, 160, 179 Open Directory-Server 217 Verzögerungszeit bis zu erneutem Verbindungsversuch 179 Vgl. auch Vertrauenswürdige Bindung BSD-Dateien (Berkeley System Distribution) 28, 203, 204 C Client-Computer Aktivierungspunkt-Einträge 147, 148 Ausfallumschaltung 106 BSD-Dateien 28, 203, 204 konfigurieren 138, 139, 145, 146 Netzwerkordner 27 NIS 28, 202 Open Directory-Unterstützung 72 Suchpfade 40, 149, 150, 151, 152, 153 Verbindungen 72, 137, 139, 140, 141 Vgl. auch Verzeichnisdienste Clients, Identifizierung 55, 58 Vgl. auch Benutzer, Client-Computer, Gruppen-Accounts Computer löschen 215 Replikverbindungen 104 Suchpfade 42, 43 Zeitsynchronisierung 112 Vgl. auch Client-Computer computer group, Objektklasse 252 computer lists, Zuordnungen 285, 286, 289 Computerattribute 302 computer, Attribute 270 computer, Objektklasse 250 Computergruppenattribute 303 computerlist, Attribute 270 computerlist, Objektklasse 250 Computername 99, 106, 134, 176 computers, Zuordnungen 284 Config, Datensatztyp 182, 286 configuration, Attribute 271, 304 configuration, Objektklassen 251 contact information, Attribute 261 container, Objektklasse 247 Controller, BDC 35, 98, 105, 225 Vgl. auch PDC CRAM-MD5, Identifizierung 60 Crypt-Kennwörter ändern 125 Benutzer-Account-Migration 135 Definition 48 Sicherheitsprobleme 50 Verschlüsselung 50, 51 Windows-Beschränkungen 34, 48 Index D DACs (Zugriffssteuerung für Verzeichnisdienste) 213 Dateidienste Identifizierung 60 Netzwerkordner 27, 147 NFS 147, 148 SMB 33, 60 Dateien BSD 28, 203, 204 Eigenschaftsliste 236 UNIX-Konfiguration 23, 25, 28 Zugriffssteuerung 27 Datenbanken Berkeley DB 11, 71 LDAP 220 Open Directory-Kennwortserver 62, 64 Datensätze Active Directory bearbeiten 200 Standardtypen 294 zu Verzeichnisdiensten zuordnen 174, 182, 183 Denial-of-Service-Angriff 52 Detailansicht 212, 213, 214, 215 DHCP-Dienst (Dynamic Host Configuration Protocol) LDAP 41, 150, 156 mobile Accounts 153 Option 95 41, 218 Sicherheit 153 DHX, Identifizierung 48, 60 Digest-MD5, Identifizierung 60 DN (Distinguished Name) 30 DNS-Dienst (Domain Name System) Attribute 274, 275 Kerberos 95, 112, 114, 236 Open Directory-Konfiguration 95, 114 Windows-Benutzer 99 Dokumentation 16, 17, 18 Domain Name System. Vgl. DNS Domains, Verzeichnis Bindung 217 Suchpfade 149, 150, 151, 153 Vgl. auch LDAP, Lokale Verzeichnis-Domains, Open Directory, Windows-Domain Domain-übergreifende Identifizierung 80 DoS-Angriff (Denial-of-Service) 221 dsconfigad, Programm 186 dsconfigldap, Programm 186 Dynamic Host Configuration Protocol. Vgl. DHCP E Eigenschaftslistendateien 236 Eigenständiger Verzeichnisdienst Vgl. Lokale Verzeichnis-Domains Einträge DAC-Einstellungen 213 Einführung 28 315 für Kerberos aktivieren 242 für Zugriffssteuerung. Vgl. ACEs importieren 216 löschen 214, 215 Verzeichnis-Domain-Kapazität 71 zu Schemata hinzufügen 82 Vgl. auch Attribute, Zuordnungen Einträge, Objektklasse 28, 30 Entfernte Server 93, 146, 206 Ethernet-ID 242 F Fehlerbeseitigung Active Directory 237 Identifizierung 235, 238, 239, 240, 242, 243 Replikation 235, 236, 237 Verbindungen 237 Finden von Benutzern und Gruppen 30, 31 Firewall-Dienst 85 Firewalls, Beschränkungen 55 G Gemeinsam genutzte Verzeichnis-Domains Benutzerinformationen 94 Einführung 30, 31 Fehlerbeseitigung bei der Anmeldung 239 NetInfo 35, 125, 136 planen 67, 68 Server angeben 72 Suchpfade 38, 40 Vgl. auch LDAP Gesamtauthentifizierung 52, 55, 56, 82 Vgl. auch Kerberos Gestufte Verwaltung 87 GID (Gruppen-ID) 80, 186, 195, 196 Globale Kennwortrichtlinie 127 Globally Unique Identifier. Vgl. GUID group, Attribute 263 group, Objektklasse 248 Gruppen Attribute 300 Beitritt zu Kerberos-Realm 116 gestufte Verwaltung 87 Speicher für Informationen 27 suchen 30, 31 Zugriffssteuerung 206 Zuordnungen 195, 282, 289, 290 Gruppen-Accounts als Administratoren 197 GID-Zuordnungen 195 Gruppen-ID 186, 196 importieren 216 Vorgaben 252, 289, 290 Vgl. auch Gruppen Gruppen-ID Vgl. GID GUID (Globally Unique Identifier) 216 316 Index H Hilfe verwenden 15 I Identifizieren Benutzer 46, 51, 53 Identifizierung Active Directory 198 Administrator 99, 101, 106, 132, 133 Attribute 50, 135, 215, 259, 273 Bindung 64, 133, 160 Clients 55, 58 Dateidienste 60 Definition 46 Fehlerbeseitigung 235, 238, 239, 240, 242, 243 im Cache 48 LDAP 64, 133, 160, 181, 182 Methoden 48, 60, 61, 62, 64, 108 Open Directory-Master 34, 113 Replikation 73 SASL 12, 60 Server 56, 85 Suchpfade 43, 149 über Zertifikate 47, 55 Überblick 12, 23, 45, 119 überwachen 211 Verzeichnis-Domains 26, 71 Vgl. auch Kennwörter, Kerberos Identifizierungsmanager 35, 48, 136 Importieren Attribute 217 Benutzer 134, 216 Einträge 216 Gruppen 216 IP-Adressen 95, 140 IP-Firewall-Dienst 85 K Kaskadierende Replikation 71, 74, 76, 105 Kennwörter Administrator 52, 127, 128, 238, 243 Benutzer-Accounts 238 bewährte Maßnahmen 49 erstellen 120, 134, 135 exportieren 134 Fehlerbeseitigung 238, 239, 242 im Vergleich mit Gesamtauthentifizierung 52 importieren 134 LDAP 182 Migration 135 Open Directory 47, 48, 49, 51, 60, 106, 123, 131 Prüfsumme (Hash) 47, 61, 63 Repliken 73 Richtlinien 45, 51, 127, 128, 259 root-Account 142 Typen 46, 47, 48, 123, 125 Windows-Domain 34, 48, 50, 51 zurücksetzen 61, 122, 243 Vgl. auch Crypt-Kennwörter, Open DirectoryKennwortserver, Shadow-Kennwörter Kennwortserver. Vgl. Open Directory-Kennwortserver Kerberos Ablauf der Identifizierung 58 Administrator 54, 112 aktivieren 127, 242 Attribute 273 beitreten 116, 118 Benutzer 53, 114 DNS 95, 112, 114, 236 Domain-übergreifende Identifizierung 80 Fehlerbeseitigung 235, 240 Funktionen 12, 47, 52, 53, 54, 55, 56, 57 Identitäten löschen 215 Kennwörter 52 Konfiguration 112, 113, 114, 118 LDAP 81 Prinzipale 58 Realms 58, 118, 242 Replikation 73 Sicherheit 55, 56, 231 Verzeichnis-Domain-Konflikte 82 Konfiguration Ausfallumschaltung 106 Befehlszeilenprogramme 186 BSD-Dateien 203, 204 Client-Computer 138, 139, 304 Domain-übergreifende Identifizierung 80 Kerberos 112, 113, 114, 118 LDAP 158, 161, 164, 166, 168 lokale Verzeichnis-Domain 94 Open Directory Kennwortserver 95 Master 95, 98 Replik 102, 104, 105 planen 70 Replikgruppen 74 Server 109, 110, 293 Überblick 91, 93 UNIX-Dateien 23, 25, 28 Verbindung 107, 109, 110, 140, 141 vertrauenswürdige Bindung 175 Verzeichnisdienste 145, 146 Verzeichnis-Domain, Übersicht 68 Windows-Domain 98, 100, 101 Kontakte, Suchpfade 43, 149 Kurzname 215 Index L Langname 264, 272 Vgl. auch Benutzername, Kurzname LAN-Manager, Identifizierung 48, 60 Lastenverteilung 70, 76 LDAP-Dienst (Lightweight Directory Access Protocol) Active Directory 200 Administratoranforderung 99 aktivieren 154, 156 Befehlszeilenprogramme 186, 215 Benutzerrechte 87, 180, 184 deaktivieren 154, 156 Definition 28 DHCP 41, 150, 156 direkter Zugriff auf 150 erweiterte Einstellungen 155 Fehlerbeseitigung 237, 241 Identifizierung 64, 133, 160, 179, 181, 182 Kerberos 81 Konfiguration 104, 158, 161, 164, 166, 168 Mac OS X 184 Mail 156 NetInfo, von NetInfo migrieren 35, 136 Open Directory 11, 246, 247 Replikation 73 Schemata 246, 247 schreibgeschützter Zugriff 180 Serververweise 180 Sicherheit 46, 121, 170, 182, 218, 221, 222 Speicherort der Datenbank 220 Struktur 29 suchen 30, 97, 172, 221, 241 Suchpfade 41 Verbindungseinstellungen 107, 177, 178, 179 Zeitlimits 178, 179, 221 Vgl. auch Attribute, Objektklassen, Vertrauenswürdige Bindung, Zuordnungen ldapmodrdn, Befehl 216 ldapsearch, Befehl 183 LDAPv2-Zugriff 180 LDAPv3-Zugriff 87, 104, 155, 158, 200 Leopard Server. Vgl. auch Mac OS X Server location, Attribute 274 location, Objektklasse 254 Locations, Datensatztyp 294 lokale Benutzerordner 192 Lokale Verzeichnis-Domains Aktivierungspunkt-Einträge 147, 148 Einführung 29, 30 Kennworttypen 46, 48 Konfiguration 94 planen 68 Suchpfad 37, 40, 41, 152 Windows-Benutzer 34 317 M Mac OS X BSD-Dateien 203, 204 Fehlerbeseitigung bei der Anmeldung 239 Open Directory-Kennwörter 47 schreibgeschützter LDAP-Zugriff 184 Verzeichnisse füllen 184 Mac OS X Server aktualisieren 78, 136 BDC 35 BSD-Dateien 203 Datensätze importieren 216 Kennwortmigration 135 Open Directory-Master wiederherstellen 232 Probleme bei Ausfallumschaltung 107 unterstützte Identifizierungsmethoden 34, 52, 53, 61, 108 Verbindungen hinzufügen 140 vertrauenswürdige Bindung 218 machine, Attribute 266 machine, Objektklasse 249 Mail-Dienste 27, 60, 156, 257 Medienzugriffssteuerung. Vgl. Ethernet-ID Migration, Kennwort 135 Mobilcomputer, Suchpfade 42, 43 Vgl. auch Mobile Accounts Mobile Accounts Active Directory 187, 191 Anmeldung 77 Kennwortrichtlinien 52, 128 LDAP 153 Suchpfade 42, 43 VPN-Dienst 77 mount. Attribute 267, 303 mount, Objektklasse 249 Mount-Datensatztyp 283, 303 MS-CHAPv2, Identifizierung 60, 108 N Name (DN) 160 Namenskonventionen Benutzername 97 Computername 99, 106, 134, 176 Kurzname 215 Langname 264, 272 NAT (Network Address Translation) 77 neighborhood, Attribute 275 neighborhood, Objektklasse 254 NeST, Befehl 132 NetBIOS-Name 106 NetInfo-Domains 35, 125, 136 Network Address Translation. Vgl. NAT Network File System. Vgl. NFS Network Information Service. Vgl. NIS Network Time Protocol. Vgl. NTP 318 Index Netzwerk-Benutzerordner 192 Netzwerkdienste IP-Adressen 95, 140 IP-Firewall-Dienst 85 NAT 77 VPN 60, 77, 238 Vgl. auch DHCP, DNS Netzwerke Client-Verbindungen 72, 137, 139, 140, 141 Fehlerbeseitigung 237 Kerberos-Realm 242 Konfiguration 107, 109, 110, 140, 141 LDAP-Verbindungen 107, 177, 178, 179 öffentlich 77 privat 77 Replikverbindungen 104 verwaltete Ansichten 27 Netzwerkordner 27, 147 Netzwerkordner automatisch aktivieren 27 NFS (Network File System) 147, 148 NIS (Network Information Service) 28, 202 NTLM, Identifizierung 48, 60, 108 NTP (Network Time Protocol) 240 O Objektklassen acl 255 augment 255 authentication authority 253 automount 255 computer 250, 251 computer group 252 computerlist 250 configuration 251, 254 container 247 Einführung 28 group 248, 252 location 254 machine 249 mount 249 neighborhood 254 printer 249 resource 255 service 254 TTL 247 Überblick 247 user 248, 253 zu Schemata hinzufügen 81 Vgl. auch Attribute Öffentliches Netzwerk 77 Offline-Angriffe 49 Open Directory aktivieren 94 Arbeitsgruppenmanager 22 BDC 35, 105 Bindungsrichtlinie 217 Client-Computer-Unterstützung 72 Daten anzeigen 212 bearbeiten 212, 213, 214, 215 Detailansicht 212, 213, 214 DNS-Konfiguration 95, 114 eigenständiger Dienst 94 Einstellungen für Optionen 217 entfernte Server 93 Funktionen 22 Kerberos 12, 47, 82 Konfiguration 70, 91, 93 LDAP 11, 246, 247 Leistungsoptimierung 84 PDC 33, 98, 100, 101 pflegen 205 Replikation 224 Sicherheitsrichtlinie 218 SMB-Dienste 33 Status überprüfen 209, 210 Übersicht 11, 21 überwachen 209, 210, 211 Verbindungskonfiguration 107, 109, 110, 140 Versionen 23, 25 Verwaltungsprogramme 88, 89, 90 Verwendungsmöglichkeiten 26 Werkzeuge für Zugriff 28, 205, 206, 207, 208 Vgl. auch Active Directory, Domains, Verzeichnis, Zuordnungen Open Directory-Kennwortserver archivieren 231 Datenbank 62, 64 Fehlerbeseitigung 239 Identifizierung 34, 47, 60 Kennwortrichtlinie 52 Konfiguration 95 Replikation 73 Sicherheit 85 Slots löschen 215 Open Directory-Master aktualisieren 78 archivieren 230, 232 Ausfallumschaltung 106 Bindung 217 Definition 73 DNS 95, 114 Einführung 29 Fehlerbeseitigung 235, 236, 237 Identifizierung 34, 113 Kennwörter 121 Konfiguration 95, 98 Repliken 71, 75, 76, 77, 78, 96, 224, 225, 226, 229 Sicherheitsrichtlinie 218 Status überprüfen 210 wiederherstellen 231 Index Open Directory-Replik aktualisieren 84 Attribute 272 Ausfallumschaltung 106 BDC 35 bereitstellen 103 deaktivieren 229 Einführung 12, 29 Fehlerbeseitigung 235, 236, 237 Identifizierung 73 in Relais ändern 226 Kennwörter 73, 121 Konfiguration 102, 104, 105 Master 71, 75, 76, 77, 78, 96, 224, 225, 226, 229 NAT 77 Replikgruppen 74 Synchronisierung 225 Umwandlung 226 Zugriffssteuerung 102 OpenLDAP. Vgl. Open Directory Open-Source-Module 11 Vgl. auch Kerberos, Open Directory Option 95, DHCP 41, 218 Optionen für Verzögerung eines erneuten Verbindungsversuchs, LDAP 179 Ordner, Zugriffssteuerung 27 Vgl. auch Benutzerordner, Dateien P PAC (Privilege Attribute Certificate) 80 Pakete, Daten 186 passwords, Attribute 271 PDC (Primärer Domain-Controller) Ausfallumschaltung 35 Open Directory als 33, 98, 100, 101 Serverkonfiguration 109 Zeitplan der Replikation 224 People, Datensatztyp 287, 288 Plug-Ins 11, 186 Ports Replikation 229 Verzeichnis-Domain-Server 85 ports service-Attribut 274 preset computer group, Objektklasse 252 preset computer list, Objektklasse 251 preset computer, Objektklasse 251 preset group, Objektklasse 252 preset user, Objektklasse 253 PresetComputerLists, Datensatztyp 289 PresetGroups, Datensatztyp 289, 290 presetUser-Attribut 273 PresetUsers, Datensatztyp 290 Primärer Domain-Controller. Vgl. PDC printer, Attribute 258, 269 319 printer, Objektklasse 249 Printers, Datensatztyp 292 Prinzipale, Kerberos 58 Privates Netzwerk 60, 77, 238 Privilege Attribute Certificate. Vgl. PAC Probleme. Vgl. Fehlerbeseitigung Programm „Server-Admin“ 88 Protokolle NTP 240 Open Directory 84, 210, 211 SMB 33 Vgl. auch DHCP, LDAP Prüfsumme (Hash), Kennwort 47, 61, 63 Pseudo-Master-Server 80 pwpolicy, Befehl 128 R RAID (Redundant Array of Independent Disks) 85 RDN (Relative Distinguished Name) 30 Realms. Vgl. Kerberos RealName 172 Redundant Array of Independent Disks. Vgl. RAID Relais 105, 226, 237 Relative Distinguished Name. Vgl. RDN Replikation kaskadierend 71, 74, 76, 105 mehrere Gebäude 76 Ports 229 Sicherheit 86 überwachen 210 untergeordnete Server 80 Verwaltung 224, 225, 226, 229 Verzeichnis-Domains 69 Vgl. auch Open Directory-Replik resource, Attribut 276 resource, Objektklasse 255 Ressourcen Zugriffssteuerung 208 Ressourcennutzung 27 Ressourcentyp Berechtigungen 208 Zugriffssteuerung 208 RFC 2307-Zuordnung 163, 183, 195 root-Account 141, 142, 238 S SACLs (Zugriffssteuerungslisten für Dienste) 46, 85, 207 SASL (Simple Authentication and Security Layer) 12, 60 Vgl. auch Open Directory-Kennwortserver schema-Attribute 276 Schemata, Verzeichnis-Domain 29, 81, 82, 187, 245, 246, 247 Vgl. auch Attribute, Einträge, Objektklassen 320 Index Schreibgeschützter Zugriff, LDAP 180, 184 Secure SHell. Vgl. SSH Secure Sockets Layer. Vgl. SSL Server angeben 72 bearbeiten 141 Bindung 217 lösen 199 entfernen 140 entfernter 93, 146, 206 hinzufügen 140 Identifizierung 56, 85 Kerberos-Realm-Verbindungen 118, 242 Konfigurieren 109, 110, 293 Ports 85 Pseudo-Master 80 Repliken bereitstellen 103 Sicherheitsrichtlinie 218 überwachen 141 untergeordnet 80 Verweise 180 wiederherstellen 231, 233 zugreifen 32, 206 Vgl. auch Open Directory server assistant configuration, Objektklasse 254 Server Message Block. Vgl. SMB Server-Admin 81 service, Attribute 271, 274 service, Objektklasse 254 Shadow-Kennwörter ändern 126 deaktivieren 63 Definition 47 Funktionen 51 Identifizierungsmethoden 60, 130 Sicherheitsprobleme 49 Windows-Beschränkungen 34, 48 Sicherheit Benutzer-Accounts 49 bewährte Maßnahmen 85 DHCP 153 Firewalls 55, 85 Identifizierungsmethoden deaktivieren 61, 62 Kerberos 55, 231 LDAP 46, 121, 170, 182, 218, 221, 222 root-Accounts 142 SASL 12, 60 Server-Sicherheitseinstellungen 218 SSL 65, 140, 222 Suchpfade 42 Zertifikate 80, 222 Vgl. auch Berechtigungen, Identifizierung, Kennwörter Simple Authentication and Security Layer. Vgl. SASL Single Sign-on (SSO) 12 slapconfig, Programm 231, 233 SMB (Server Message Block), Protokoll 33, 60 SSH (Secure Shell Host) 86, 103, 206 ssh, Befehl 206 SSL (Secure Sockets Layer) 65, 140, 222 Start, Probleme 237 Suchbeginn, LDAP 30, 97, 173, 241 Suchen Benutzer und Gruppen 30, 31 LDAP 30, 97, 172, 221, 241 Suchpfade Administrator 41 ändern 153 angepasst 43 automatisch 41, 150 Computer 42, 43 Definition 37 eigene 151 erweiterte Einstellungen 149 Identifizierung 43, 149 Kontakte 43, 149 LDAP 41 lokal 152 Stufen 37, 38, 40 Suchrichtlinien Definition 33 DHCP 153 T Ticket-basierte Identifizierung 55 Vgl. auch Kerberos time-to-live (TTL), Attribut 256 time-to-live (TTL), Objektklasse 247 U UID (Benutzer-ID) 80, 97, 186, 194 Umstellung NetInfo zu LDAP 35, 136 UNIX Crypt-Kennwort 125 Gruppen-ID-Zuordnung 195 Konfigurationsdateien 23, 25 RFC 2307-Zuordnung 163 Sicherheitsprobleme 49 UNIX-Shell-Attribut 193 Untergeordneter Server 80 URL-Adressen (Uniform Resource Locator) 271 user, Attribute 256, 273, 295, 299 user, Objektklassen 248, 253 V Verschlüsselung 50, 51, 60, 186 Vertrauenswürdige Bindung Active Directory 190 Definition 157 Konfiguration 175 Index Optionen 160 Richtlinien 217 trennen 168, 177 Verwaltete Netzwerkansichten 27 Verweise, Server 180 Verzeichnisdienste 81, 89, 137 Administratoren 21 Attribute 174 Bereitschaft von Kerberos 113 erweiterte Einstellungen 146, 154 konfigurieren 145, 146 planen 41 Programm 145, 146 Steuerelemente. Vgl. DACs Struktur 22 Verbindungsprobleme 237 Vorteile 21 Zugriff 154, 155 zuordnen 174, 182, 183 Vgl. auch Active Directory, Domains, Open Directory Verzeichnis-Domains Identifizierung 26, 71 integrieren 80 NetInfo 35, 125, 136 Nicht-Apple-Domains 33 NIS 28, 202 planen 41, 67, 68, 93 Ports 85 Replikation 69 Schemata 29, 81, 82, 187, 245, 246, 247 Server angeben 72 Speicherkapazität 71 Struktur 22, 26, 28 Verzeichnisse. Vgl. Domains, Ordner, Verzeichnisdienste Verzögerungszeit bis zu erneutem Verbindungsversuch, LDAP 179 Vollständiger Name. Vgl. Langname Vorlagen, LDAP-Zuordnung 174 VPN (Virtual Private Network) 60, 77, 238 W WebDAV-Digest, Identifizierung 60, 64 Windows 2000-Konfiguration 101 Windows XP-Konfiguration 100 Windows-Domain BDC 35, 98, 105 Kennwörter 34, 48, 50, 51 Open Directory-Konfiguration 98, 100, 101 PDC 33, 98, 100, 101 Vgl. auch Active Directory, SMB X xmlplist-Attribute 271 321 Z Zeitlimit für Abfrage, LDAP 178 für Inaktivität, LDAP 179 für Öffnen/Schließen, LDAP 178 Zeitsynchronisierung 59, 73, 112, 240 Zertifikate 80, 222 Zugriff ACLs 46, 85, 86, 207 Active Directory-Domains 188, 200 Administrator 86, 207 Anmeldefenster 206 Benutzer 186, 205, 206, 238 DACs 213 Datei 27 Gruppe 206 Ordner 27 Repliken 102 Ressourcen 208 Ressourcentyp 208 Server 32, 206 SSH 206 Verwendungsmöglichkeiten für Verzeichnis-Domains 27 Verzeichnisdienst 154, 155 Vgl. auch Berechtigungen, LDAP 322 Index Zugriffsrechte Administrator 87 Benutzer 87, 180, 184 Zugriffssteuerungslisten. Vgl. ACLs Zugriffssteuerungslisten. Vgl. SACLs Zuordnungen Active Directory 187, 194, 195, 196 AutoServerSetup, Datensatztyp 293 Benutzer 194, 278, 290 computer lists 285, 286, 289 computers 284 Config, Datenatztyp 286 Gruppen 195, 282, 289, 290 LDAP 158, 161, 172, 174, 183 Locations, Datensatztyp 294 mounts 283 People, Datenatztyp 287, 288 printers 292 RFC 2307 163, 183, 195 Überblick 245 Verzeichnisdienste 174, 182, 183 Zweistufige Suchpfade 38 Source Exif Data:
File Type : PDF File Type Extension : pdf MIME Type : application/pdf PDF Version : 1.5 Linearized : Yes Page Mode : UseOutlines XMP Toolkit : Adobe XMP Core 4.0-c316 44.253921, Sun Oct 01 2006 17:08:23 Producer : Acrobat Distiller 8.1.0 (Macintosh) Modify Date : 2009:07:02 13:55:25-05:00 Creator Tool : FrameMaker 6.0 Create Date : 2008:03:10 14:39:24Z Metadata Date : 2009:07:02 13:55:25-05:00 Document ID : uuid:f75a68b3-6014-4f3c-b0dd-f37cf5fd1736 Instance ID : uuid:9fb98f38-b2f2-6245-813f-cc9d40510e75 Format : application/pdf Creator : Apple Inc. Title : Open Directory – Administration Description : Mac OS X Server 10.5 Leopard Page Count : 322 Page Layout : SinglePage Subject : Mac OS X Server 10.5 Leopard Author : Apple Inc. EXIF Metadata provided by EXIF.tools