User Manual: Apple Mac OS X Server Mac OS X Server v10.5 Leopard - Open Directory - Administration
Open the PDF directly: View PDF
.
Page Count: 322
Download | |
Open PDF In Browser | View PDF |
Mac OS X Server
Open Directory – Administration
Für Version 10.5 Leopard Apple Inc.
© 2007 Apple Inc. Alle Rechte vorbehalten.
Der Eigentümer oder autorisierte Benutzer einer gültigen
Kopie der Mac OS X Server-Software darf diese Publikation zum Zweck der Unterrichtung in die Verwendung
der Software reproduzieren. Diese Lizenz darf jedoch
weder insgesamt noch in Auszügen für kommerzielle
Zwecke vervielfältigt oder übertragen werden. Hierzu
gehören beispielsweise der Verkauf von Kopien oder das
Erbringen von Support-Dienstleistungen gegen Entgelt.
Ansprüche gegenüber Apple Inc. in Anlehnung an die in
diesem Handbuch beschriebenen Hard- oder Softwareprodukte richten sich ausschließlich nach den Bestimmungen der Garantiekarte. Apple Inc. übernimmt keine
Haftung für Druck- oder Schreibfehler. Apple GmbH, Arnulfstraße 19,
D-80335 München, Telefon: 089/9 96 40-0
Apple Ges. mbH, Landstrasser Hauptstraße 71/1.Stock,
A-1030 Wien, Telefon: 01/71 18 20
Apple Switzerland AG, Birgistrasse 4 a,
CH-8304 Wallisellen, Telefon: 01/8 77 91 91
Internet: www.apple.com
www.apple.com/de
www.apple.com/at
www.apple.com/ch
Das Apple-Logo ist eine in den USA und weiteren
Ländern eingetragene Marke der Apple Inc. Die Verwendung des über die Tastatur erzeugten Apple-Logos für
kommerzielle Zwecke ohne vorherige Genehmigung
von Apple kann als Markenmissbrauch und unlauterer
Wettbewerb gerichtlich verfolgt werden. Apple, das Apple-Logo, Mac, Macintosh, Xgrid und
Xserve sind Marken der Apple Inc., die in den USA
und weiteren Ländern eingetragen sind. Finder ist
eine Marke der Apple Inc.
Adobe und PostScript sind Marken der Adobe Systems
Incorporated.
UNIX ist eine eingetragene Marke von The Open Group.
Die Rechte an anderen in diesem Handbuch erwähnten Marken- und Produktnamen liegen bei ihren Inhabern und werden hiermit anerkannt. Die Nennung von
Produkten, die nicht von Apple sind, dient ausschließlich Informationszwecken und stellt keine Werbung
dar. Apple übernimmt keine Gewähr im Hinblick auf
Leistung oder Verwendbarkeit dieser Produkte.
D019-0935 / September 2007 1 Inhalt Vorwort 11
12
13
14
15
16
17
18
18
19 Über dieses Handbuch
Neue Merkmale und Funktionen in Version 10.5
Überblick
Verwenden dieses Handbuchs
Verwenden der Online-Hilfe
Dokumentation zu Mac OS X Server
Anzeigen von PDF-Handbüchern auf dem Bildschirm
Drucken der PDF-Handbücher
Laden von Aktualisierungen für die Dokumentation
Weitere Informationsmöglichkeiten Kapitel 1 21
21
22
23
23
25
26
28
28
29
30
30
31
33
33
33
35 Verzeichnisdienste mit Open Directory
Vorteile der Verwendung von Verzeichnisdiensten
Verzeichnisdienste und Verzeichnis-Domains
Geschichtlicher Hintergrund
Datenkonsolidierung
Datenverteilung
Anwendungsmöglichkeiten für Verzeichnisdaten
Zugriff auf Verzeichnisdienste
Hintergrundinformationen zu einer Verzeichnis-Domain
Die Struktur von LDAP-Verzeichnisinformationen
Lokale und gemeinsam genutzte Verzeichnis-Domains
Informationen zur lokalen Verzeichnis-Domain
Informationen zu gemeinsam genutzten Verzeichnis-Domains
Gemeinsam genutzte Daten in vorhandenen Verzeichnis-Domains
SMB-Dienste und Open Directory
Open Directory als primärer Domain-Controller (PDC)
Open Directory als BDC 3 Kapitel 2 37
37
37
38
40
41
43
43 Open Directory-Suchpfade
Suchpfadebenen
Suchpfad für eine lokale Verzeichnis-Domain
Zweistufige Suchpfade
Mehrstufige Suchpfade
Automatische Suchpfade
Spezielle Suchpfade
Suchpfade für Identifizierung und Kontakte Kapitel 3 45
46
46
47
47
48
48
49
50
51
52
53
54
55
55
56
56
56
57
57
58
58
60
61
62
64
64 Open Directory-Identifizierung
Kennworttypen
Identifizierung und Berechtigung
Open Directory-Kennwörter
„Shadow“-Kennwörter
„Crypt“-Kennwörter
Bereitstellen einer sicheren Identifizierung für Windows-Benutzer
Offline-Angriffe auf Kennwörter
Bestimmen der zu verwendenden Option zur Identifizierung
Kennwortrichtlinien
Gesamtauthentifizierung
Kerberos-Identifizierung
Beseitigen von Schwierigkeiten bei der Kerberos-Implementierung
Ablauf der Gesamtauthentifizierung
Sichere Identifizierung
Zusätzliche Möglichkeiten neben Kennwörtern
Identifizierung auf mehreren Plattformen
Zentrale Identifizierung
Kerberos-orientierte Dienste
Konfigurieren von Diensten für Kerberos nach einer Aktualisierung
Kerberos-Prinzipale und Realms (Bereiche)
Ablauf der Kerberos-Identifizierung
Identifizierungsmethoden von Open Directory-Kennwortserver und
„Shadow“-Kennwörtern
Deaktivieren von Identifizierungsmethoden von Open Directory
Deaktivieren von Identifizierungsmethoden mit „Shadow“-Kennwörtern
Inhalt der Datenbank des Open Directory-Kennwortservers
Identifizierte LDAP-Verzeichnisbindung 67
68
71
72
73 Programme zur Planung und Verwaltung von Open Directory
Allgemeine Richtlinien für die Planung
Abschätzen der Anforderungen für Verzeichnisse und Identifizierung
Festlegen von Servern für gemeinsam genutzte Domains
Replizieren von Open Directory-Diensten Kapitel 4 4 Inhalt 74
74
76
76
76
77
78
78
80
81
82
82
84
85
86
87
88
88
89
90
90
Kapitel 5 91
91
93
93
94
94
95
98
98
100
100
101
102
104
105
105
106 Replikgruppen
Kaskadierende Replikation
Planen der Aktualisierung mehrerer Open Directory-Repliken
Lastenverteilung in kleinen, mittleren und großen Umgebungen
Replikation in einer Umgebung mit mehreren Gebäuden
Verwenden eines Open Directory-Masters, einer Open Directory-Replik oder eines
Open Directory-Relais mit NAT
Kompatibilität von Open Directory-Master und -Replik
Integrieren von Active Directory, einem Open Directory-Master und Replikdiensten in
einem gemeinsamen System
Integrieren mit vorhandenen Verzeichnis-Domains
Integrieren ohne Schemaänderungen
Integrieren mit Schemaänderungen
Vermeiden von Kerberos-Konflikten bei Vorliegen mehrerer Verzeichnisse
Optimieren von Leistung und Redundanz
Open Directory-Sicherheit
SACLs (Service Access Control Lists)
Gestufte Verwaltung
Programme zum Verwalten von Open Directory-Diensten
Programm „Server-Admin“
Verzeichnisdienste
Arbeitsgruppenmanager
Befehlszeilenprogramme
Konfigurieren von Open Directory-Diensten
Konfigurationsübersicht
Vorbereitung
Verwalten von Open Directory auf einem entfernten Server
Aktivieren von Open Directory
Konfigurieren eines eigenständigen Verzeichnisdiensts
Konfigurieren eines Open Directory-Masters
Beschreiben des Anmeldevorgangs für Benutzer
Konfigurieren eines primären Domain-Controllers (PDC)
Konfigurieren von Windows Vista für die Domain-Anmeldung
Konfigurieren von Windows XP für die Domain-Anmeldung
Konfigurieren von Windows 2000 für die Domain-Anmeldung
Konfigurieren einer Open Directory-Replik
Erstellen mehrerer Repliken eines Open Directory-Masters
Konfigurieren von Open Directory-Relais für die kaskadierende Replikation
Konfigurieren eines Servers als BDC
Konfigurieren der Open Directory-Ausfallumschaltung (Failover) Inhalt 5 107
109
110
112
113
114
115 6 118 Konfigurieren einer Verbindung zu einem Verzeichnisserver
Konfigurieren eines Servers als Domain-Mitglied des Mac OS X Server-PDCs
Konfigurieren eines Servers als Active Directory-Domain-Mitglied
Konfigurieren der Kerberos-Identifizierung mit Gesamtauthentifizierung
Konfigurieren eines Open Directory-Kerberos-Realms
Starten von Kerberos nach der Konfiguration eines Open Directory-Masters
Delegieren der Berechtigung zum Hinzufügen eines Objekts zu einem
Open Directory-Kerberos-Realm
Hinzufügen eines Servers zu einem Kerberos-Realm Kapitel 6 119
120
121
122
123
123
125
126
127
127
128
130
131
132
133
133
134
135 Verwalten der Daten für die Benutzeridentifizierung
Definieren eines Kennworts
Ändern des Kennworts eines Benutzers
Zurücksetzen der Kennwörter mehrerer Benutzer
Ändern des Kennworttyps eines Benutzers
Ändern des Kennworttyps in „Open Directory“
Ändern des Kennworttyps in „Crypt“-Kennwort
Ändern des Kennworttyps in „Shadow“-Kennwort
Aktivieren der Kerberos-Identifizierung mit Gesamtauthentifizierung für einen Benutzer
Ändern der globalen Kennwortrichtlinie
Festlegen von Kennwortrichtlinien für einzelne Benutzer
Auswählen von Identifizierungsmethoden für Benutzer von „Shadow“-Kennwörtern
Auswählen von Identifizierungsmethoden für Open Directory-Kennwörter
Zuweisen von Administratorrechten für die Open Directory-Identifizierung
Synchronisieren der Kennwörter des primären Administrators
Aktivieren der identifizierten LDAP-Verzeichnisbindung für einen Benutzer
Einstellen von Kennwörtern von exportierten oder importierten Benutzer-Accounts
Umstellen von Kennwörtern von Mac OS X Server 10.1 (oder älter) Kapitel 7 137
137
137
138
139
140
140
141
141
141
142
142 Verwalten von Verzeichnis-Clients
Verbinden von Clients mit Verzeichnisservern
Verbindungen mit Verzeichnisservern
Automatisierte Client-Konfiguration
Hinzufügen einer Verbindung zu einem Active Directory-Server
Hinzufügen einer Verbindung zu einem Open Directory-Server
Entfernen einer Verbindung zu einem Verzeichnisserver
Bearbeiten einer Verbindung zu einem Verzeichnisserver
Überwachen von Verbindungen mit Verzeichnisservern
Verwalten des root-Benutzer-Accounts
Aktivieren des root-Benutzer-Accounts
Ändern des Kennwort des root-Benutzer-Accounts Inhalt Kapitel 8 145
146
146
147
147
148
148
149
150
151
152
153
153
154
154
154
155
156
156
158
158
161
164
165
168
169
170
172
175
177
178
178
179
179
180
180
181
181
182
182
184
184 Erweiterte Einstellungen für Directory-Clients
Erweiterte Einstellungen des Programms „Verzeichnisdienste“
Einrichten des Programms „Verzeichnisdienste“ per Fernzugriff auf einem Server
Konfigurieren von Aktivierungen für die lokale Verzeichnis-Domain eines Computers
Hinzufügen einer Aktivierung zur lokalen Verzeichnis-Domain
Entfernen von Aktivierungen aus der lokalen Verzeichnis-Domain
Bearbeiten einer Aktivierung in der lokalen Verzeichnis-Domain
Verwenden von erweiterten Einstellungen für Suchpfade
Definieren von automatischen Suchpfaden
Definieren von eigenen Suchpfaden
Definieren von Suchpfaden für das lokale Verzeichnis
Warten, bis die Änderung eines Suchpfads wirksam wird
Schützen von Computern vor unberechtigten Zugriffen über einen DHCP-Server
Verwenden erweiterter Einstellungen des Programms „Verzeichnisdienste“
Aktivieren oder Deaktivieren des Active Directory-Diensts
Aktivieren oder Deaktivieren von LDAP-Verzeichnisdiensten
Verwenden erweiterter Einstellungen für den LDAP-Dienst
Zugreifen auf LDAP-Verzeichnisse mit den Programmen „Mail“ und „Adressbuch“
Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses
Ein- oder Ausblenden von Konfigurationen für LDAP-Server
Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis
Konfigurieren des manuellen Zugriffs auf ein LDAP-Verzeichnis
Ändern einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis
Duplizieren einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis
Löschen einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis
Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis
Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung
Konfigurieren von LDAP-Suchen und -Zuordnungen
Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis
Stoppen der vertrauenswürdigen Bindung zu einem LDAP-Verzeichnis
Ändern des Zeitlimits für Öffnen & Schließen einer LDAP-Verbindung
Ändern des Zeitlimits für Abfragen einer LDAP-Verbindung
Ändern der Verzögerungszeit für erneute Versuche einer LDAP-Verbindung
Ändern des Zeitlimits für eine inaktive LDAP-Verbindung
Erzwingen von schreibgeschütztem LDAPv2-Zugriff
Ignorieren von LDAP-Server-Verweisen
Identifizieren einer LDAP-Verbindung
Ändern des Kennworts für die Identifizierung einer LDAP-Verbindung
Zuordnen von „Config“-Datensatzattributen für LDAP-Verzeichnisse
Bearbeiten der RFC 2307-Zuordnung zum Aktivieren der Benutzererstellung
Vorbereiten eines schreibgeschützten LDAP-Verzeichnisses für Mac OS X
Füllen von LDAP-Verzeichnissen mit Daten für Mac OS X Inhalt 7 185
186
188
191
192
193
194
195
196
197
197
198
199
200
200
202
203
204
Kapitel 9 205
205
206
206
207
208
209
210
210
210
211
212
212
213
213
214
214
215
216 8 Verwenden erweiterter Einstellungen des Active Directory-Diensts
Zugriff auf Active Directory
Konfigurieren des Zugriffs auf eine Active Directory-Domain
Einrichten mobiler Benutzer-Accounts in Active Directory
Einrichten von Benutzerordnern für Active Directory-Benutzer-Accounts
Einrichten einer UNIX Shell für Active Directory-Benutzer-Accounts
Zuordnen der Benutzerkennung (UID) zu einem Active Directory-Attribut
Zuordnen der Primärgruppen-ID zu einem Active Directory-Attribut
Zuordnen der Gruppen-ID in Gruppen-Accounts zu einem Active Directory-Attribut
Angeben eines bevorzugten Active Directory-Servers
Ändern der Active Directory-Gruppen, die den Computer verwalten können
Steuern der Identifizierung von allen Domains in einer Active DirectoryGesamtstruktur
Lösen der Bindung zum Active Directory-Server
Bearbeiten von Benutzer-Accounts und anderen Datensätzen in Active Directory
Konfigurieren des LDAP-Zugriffs auf Active Directory-Domains
Festlegen von NIS-Einstellungen
Festlegen von Einstellungen für BSD-Konfigurationsdateien
Konfigurieren von Daten in BSD-Konfigurationsdateien
Pflegen von Open Directory-Diensten
Zugriffssteuerung für Open Directory-Server und -Dienste
Zugriffssteuerung für das Anmeldefenster eines Servers
Zugriffssteuerung für den SSH-Dienst
Konfigurieren der Zugriffssteuerung für Dienste
Konfigurieren von Zugriffsrechten für Ressourcen
Überwachen von Open Directory
Überprüfen des Status eines Open Directory-Servers
Überwachen von Repliken und Relais eines Open Directory-Masters
Anzeigen von Open Directory-Status und -Protokollen
Überwachen der Open Directory-Identifizierung
Anzeigen und Bearbeiten von Verzeichnisdaten
Einblenden der Verzeichnisdetailansicht
Ausblenden der Detailansicht
Konfigurieren der Zugriffssteuerung für die Verzeichnisdienste
Löschen von Einträgen
Löschen von Benutzern oder Computern mithilfe des Fensters „Detailansicht“
oder der Befehlszeile
Ändern des Kurznamens eines Benutzers
Importieren von Einträgen beliebigen Typs Inhalt 217
217
218
220
221
221
222
222
224
224
225
226
226
229
230
231
Kapitel 10 235
235
235
236
236
237
237
237
237
238
238
238
238
239
239
239
240
240
242
242
243 Festlegen von Optionen für einen Open Directory-Server
Festlegen einer Bindungsrichtlinie für einen Open Directory-Server
Festlegen einer Sicherheitsrichtlinie für einen Open Directory-Server
Ändern des Speicherorts einer LDAP-Datenbank
Beschränken der Suchergebnisse für den LDAP-Dienst
Festlegen eines Zeitlimits für Suchvorgänge für den LDAP-Dienst
Konfigurieren von SSL für den LDAP-Dienst
Erstellen einer angepassten SSL-Konfiguration für LDAP
Verwalten der Open Directory-Replikation
Planen der Replikation eines Open Directory-Masters oder primären DomainControllers (PDC)
Synchronisieren einer Open Directory-Replik oder eines BDCs bei Bedarf
Umwandeln einer Open Directory-Replik in ein Relais
Umwandeln einer Open Directory-Replik in einen Master
Deaktivieren einer Open Directory-Replik
Archivieren eines Open Directory-Masters
Wiederherstellen eines Open Directory-Masters
Fehlerbeseitigung
Fehlerbeseitigung bei Open Directory-Master und -Repliken
Kerberos ist auf einem Open Directory-Master oder einer Replik gestoppt
Das Erstellen einer Open Directory-Replik ist nicht möglich
Das Erstellen eines Open Directory-Masters oder einer Replik aus einer
Konfigurationsdatei ist nicht möglich
Eine Replik lässt sich nicht mit einem Relais verbinden
Das Hinzufügen einer Open Directory-Replik zu einem Open Directory-Server, der
einem Active Directory-Server untergeordnet ist, ist nicht möglich
Beseitigen von Problemen mit Verzeichnisverbindungen
Beim Start kommt es zu Verzögerungen
Fehlerbeseitigung bei der Identifizierung
Das Open Directory-Kennwort eines Benutzers lässt sich nicht ändern
Ein Benutzer kann auf bestimmte Dienste nicht zugreifen
Ein Benutzer kann sich nicht für den VPN-Dienst identifizieren
Der Kennworttyp eines Benutzers kann nicht in „Open Directory“ geändert werden
Benutzer, die einen Kennwortserver verwenden, können sich nicht anmelden
Benutzer mit Accounts in einer freigegebenen Verzeichnis-Domain können sich
nicht anmelden
Das Anmelden als Active Directory-Benutzer ist nicht möglich
Benutzer können sich nicht mit der Kerberos-Identifizierung für die
Gesamtauthentifizierung identifizieren
Benutzer können ihre Kennwörter nicht ändern
Ein Server lässt sich einem Open Directory-Kerberos-Realm nicht hinzufügen
Sie müssen ein Administratorkennwort zurücksetzen Inhalt 9 10 Anhang 245
246
247
256
277
278
282
283
284
285
286
287
289
289
290
292
293
294
294
295
300
302
303
303
304 Glossar 305 Index 313 Mac OS X-Verzeichnisdaten
Open Directory-Erweiterungen des LDAP-Schemas
Objektklassen im Open Directory-LDAP-Schema
Attribute im Open Directory-LDAP-Schema
Zuweisen von Standard-Datensatztypen und -Attributen zu LDAP und Active Directory
Zuordnungen für „Users“
Zuordnungen für „Groups“
Zuordnungen für „Mounts“
Zuordnungen für „Computers“
Zuordnungen für „ComputerLists“
Zuordnungen für „Config“
Zuordnungen für „People“
Zuordnungen für „PresetComputerLists“
Zuordnungen für „PresetGroups“
Zuordnungen für „PresetUsers“
Zuordnungen für „Printers“
Zuordnungen für „AutoServerSetup“
Zuordnungen für „Locations“
Standardmäßige Open Directory-Datensatztypen und -attribute
Standardattribute in Benutzerdatensätzen
Standardattribute in Gruppendatensätzen
Standardattribute in Computerdatensätzen
Standardattribute in Computergruppen-Datensätzen
Standardattribute in Mount-Datensätzen
Standardattribute in Config-Datensätzen Inhalt Vorwort Über dieses Handbuch In diesem Handbuch werden die Verzeichnis- und Identifizierungsdienste beschrieben, die Sie mithilfe von Mac OS X
Server konfigurieren können. Außerdem finden Sie hier
Informationen zum Konfigurieren von Mac OS X Serverund Mac OS X-Client-Computern für Verzeichnisdienste.
Open Directory von Mac OS X Server bietet Verzeichnis- und Identifizierungsdienste
für gemischte Netzwerke mit Mac OS X-, Windows- und UNIX-Computern.
Open Directory verwendet OpenLDAP, die Open-Source-Implementierung von LDAP
(Lightweight Directory Access Protocol), um Verzeichnisdienste bereitzustellen. Es ist
mit anderen auf Standards basierenden LDAP-Servern kompatibel und kann mit proprietären Diensten wie Active Directory von Microsoft und eDirectory von Novell
integriert werden.
Für das Backend der LDAP-Datenbank verwendet Open Directory die Open-SourceDatenbank „Berkeley DB“. Hierbei handelt es sich um eine äußerst skalierbare Datenbank für eine höchst leistungsfähige Indizierung von Hunderttausenden BenutzerAccounts und anderen Datensätzen.
Mithilfe von Open Directory-Plug-Ins kann ein Mac OS X-Client oder Mac OS X ServerComputer Berechtigungsinformationen über Benutzer und Netzwerkressourcen auf
beliebigen LDAP-Servern lesen und schreiben – sogar vom Microsoft-spezifischen
Active Directory-Server. Der Server kann auch auf Datensätze in älteren Verzeichnissen wie NIS und lokalen BSD-Konfigurationsdateien (/etc) zugreifen. 11 Open Directory stellt zudem Dienste für Anmeldung und Identifizierung bereit.
Open Directory kann die Kennwörter von Benutzern sicher speichern und überprüfen, die sich bei Client-Computern in Ihrem Netzwerk anmelden oder andere
Netzwerk-Ressourcen verwenden möchten, für die eine Identifizierung erforderlich ist. Open Directory kann solche Richtlinien mithilfe von ablaufenden Kennwörtern und Anforderungen an die minimale Kennwortlänge umsetzen. Zudem kann
Open Directory Benutzer von Windows-Computern für die Domain-Anmeldung
(auch: Domänen-Anmeldung), den Dateidienst und andere von Mac OS X Server
bereitgestellte Windows-Dienste (SMB-Dienste) identifizieren.
Ein MIT Kerberos-KDC (Key Distribution Center) ist vollständig in Open Directory integriert und bietet eine zuverlässige Identifizierung mit Unterstützung für eine sichere
Gesamtauthentifizierung (Single Sign-On). Das bedeutet, dass sich Benutzer nur einmal
mit einem einzigen Benutzernamen und Kennwort anmelden müssen, um auf alle
Kerberos-fähigen Netzwerkdienste zugreifen zu können.
Bei Diensten, die die Kerberos-Identifizierung nicht unterstützen, ermittelt der integrierte SASL-Dienst (Secure Authentication and Service Layer) die Identifizierungsmethode mit der höchsten Sicherheit.
Zudem wird die Verfügbarkeit und Skalierbarkeit durch die Verzeichnis- und Identifizierungsreplikation maximiert. Durch das Erstellen von Repliken von Open DirectoryServern können Sie ganz einfach Server für die Ausfallumschaltung und entfernte
Server für eine schnelle Client-Interaktion in verteilten Netzwerken nutzen. Neue Merkmale und Funktionen in Version 10.5
Mac OS X Server Version 10.5 bietet die folgenden grundlegenden Verbesserungen bei
Open Directory:
 Vereinfachte Konfiguration des LDAPv3-Zugriffs: Das Programm „Verzeichnisdienste“ unterstützt Sie bei der Konfiguration einer Verbindung zu einem LDAPVerzeichnis.
 Verbesserte Oberfläche des Programms „Server-Admin“: Server-Admin verfügt nun
über eine benutzerfreundlichere Oberfläche.
 Verbesserte Identifizierung: Sie können einen Mac OS X-Open Directory-Server
mit einem Active Directory-Server verbinden und eine Domain-übergreifende
Identifizierung nutzen.
 Verbesserter LDAP-Server: Mac OS X Server 10.5 verwendet OpenLDAP Version 2.3.x
und Berkeley DB Version 4.2.52. 12 Vorwort Über dieses Handbuch  Verbesserte lokale Domain: Mac OS X verwendet eine lokale Verzeichnis-Domain für
die lokale Computeridentifizierung.
 Verbesserte Replikation: Sie können eine zweistufige Replikation eines einzelnen
Masters nutzen (auch als „kaskadierende Replikation“ bezeichnet). Hierdurch stehen
Ihnen bis zu 1056 Repliken eines einzelnen Open Directory-Masters und effizientere
Replikgruppen oder eine effizientere Replikauswahl für Kennwortserver, LDAP und
Kerberos zur Verfügung.
 Verbesserte Verwaltung: Durch die Verwendung einer gestuften Verwaltung profitieren Sie bei der Verwaltung von Verzeichnis-Domains von einer höheren Skalierbarkeit.
 Verbesserte Unterstützung für Programme: Sie können Open Directory mit Programmen wie Apple Wiki verwenden. Überblick
Dieses Handbuch ist wie folgt untergliedert:
 Kapitel 1 „Verzeichnisdienste mit Open Directory“ erklärt, was Verzeichnis-Domains
sind und wie sie verwendet und strukturiert werden.
 Kapitel 2 „Open Directory-Suchpfade“ beschreibt Suchpfade mit einer oder mehreren
Verzeichnis-Domains sowie automatische, angepasste und rein lokale Suchpfade.
 Kapitel 3 „Open Directory-Identifizierung“ beschreibt die Open Directory-Identifizierung, „Shadow“- und „Crypt“-Kennwörter, Kerberos, die LDAP-Bindung und die
Gesamtauthentifizierung.
 Kapitel 4 „Programme zur Planung und Verwaltung von Open Directory“ hilft
Ihnen, Ihre Anforderungen an Verzeichnis-Domains zu ermitteln, Anforderungen
an Verzeichnisse und Identifizierung abzuschätzen, Server als Hosts für gemeinsam genutzte Domains festzulegen, Leistung und Redundanz zu verbessern, mit
dem Thema Replikation in einer Umgebung mit mehreren Gebäuden umzugehen
und Ihre Open Directory-Dienste sicher zu machen. Dieses Kapitel stellt auch die
Werkzeuge vor, die Sie zur Verwaltung von Open Directory-Diensten verwenden.
 Kapitel 5 „Konfigurieren von Open Directory-Diensten“ enthält Informationen zum
Konfigurieren eines Open Directory-Servers sowie zu den verfügbaren Konfigurationen und Funktionen. In diesem Kapitel wird auch erklärt, wie Sie Optionen des LDAPDiensts eines Open Directory-Masters oder einer Open Directory-Replik festlegen und
die Kerberos-Gesamtauthentifizierung auf einem Open Directory-Master einrichten.
 Kapitel 6 „Verwalten der Daten für die Benutzeridentifizierung“ beschreibt, wie Sie
Kennwortrichtlinien festlegen, den Kennworttyp eines Benutzers ändern, Administratorrechte für die Open Directory-Identifizierung zuweisen, Kennwörter importierter
Benutzer-Accounts zurücksetzen und Kennwörter auf die Open Directory-Identifizierung umstellen. Vorwort Über dieses Handbuch 13 Â Kapitel 7 „Verwalten von Verzeichnis-Clients“ erläutert die Verwendung des Programms „Verzeichnisdienste“ zum Konfigurieren und Verwalten des Zugriffs von
Mac OS X-Computern auf Verzeichnisdienste.
 Kapitel 8 „Erweiterte Einstellungen für Directory-Clients“ umfasst Anleitungen zur
Verwendung des Programms „Verzeichnisdienste“ zum Aktivieren, Deaktivieren
und Konfigurieren von Diensterkennungsprotokollen. In diesem Kapitel wird
auch die Konfiguration von Suchpfaden für Identifizierung und Kontakte erklärt
sowie die Konfiguration des Zugriffs auf Verzeichnis-Domains, u. a. LDAP-, Active
Directory-, NIS- und BSD-Konfigurationsdateien.
 Kapitel 9 „Pflegen von Open Directory-Diensten“ enthält Informationen zum Überwachen von Open Directory-Diensten, Anzeigen und Bearbeiten von Verzeichnisdaten
mit dem Fenster „Detailansicht“, Archivieren eines Open Directory-Masters und Ausführen anderer Wartungsaufgaben für Verzeichnisse.
 Kapitel 10 „Fehlerbeseitigung“ beschreibt gelegentlich auftretende Probleme und bietet Lösungsvorschläge, sollten bei der Arbeit mit Open Directory Probleme auftreten.
Im Anhang „Mac OS X-Verzeichnisdaten“ werden die Open Directory-Erweiterungen des
LDAP-Schemas aufgelistet und die standardmäßigen Datensatztypen und -attribute von
Mac OS X genannt. Im letzten Kapitel, dem Glossar, werden Begriffe definiert, die Sie in
diesem Handbuch finden.
Hinweis: Da Apple regelmäßig neue Versionen und Aktualisierungen von Software veröffentlicht, unterscheiden sich die Abbildungen in diesem Handbuch möglicherweise
von Ihrer Bildschirmanzeige. Verwenden dieses Handbuchs
Die Kapitel im vorliegenden Handbuch sind in der Reihenfolge angeordnet, in der
Sie sie wahrscheinlich benötigen werden, wenn Sie Open Directory auf Ihrem Server
konfigurieren und verwalten:
 Lesen Sie Kapitel 1 bis Kapitel 3, um sich mit den Open Directory-Konzepten vertraut
zu machen: Verzeichnisdienste, Suchpfade und Identifizierung.
 Lesen Sie Kapitel 4, wenn Sie Verzeichnisdienste und die Identifizierung und Anmeldung per Kennwort für Ihr Netzwerk planen möchten.
 Lesen Sie nach Abschluss der Planung die Anleitungen in Kapitel 5, um Open DirectoryDienste einzurichten.
 Wenn Sie Kennwortrichtlinien definieren oder Kennworteinstellungen für einen
Benutzer-Account ändern müssen, lesen Sie die Anleitungen in Kapitel 6. 14 Vorwort Über dieses Handbuch  Wenn Sie den Zugriff eines Mac OS X- oder Mac OS X Server-Computers auf Verzeichnis-Domains einrichten oder anpassen, befolgen Sie die Anleitungen in Kapitel 7.
 Zum Konfigurieren erweiterter Einstellungen für Benutzer mithilfe des Programms
„Verzeichnisdienste“ lesen Sie Kapitel 8.
 Ziehen Sie für die laufende Wartung von Verzeichnis- und Identifizierungsdiensten
die Informationen in Kapitel 9 zu Rate.
 Sollten bei der Verwendung von Open Directory Probleme auftreten, lesen Sie
Kapitel 10, um Näheres über mögliche Lösungen zu erfahren. Verwenden der Online-Hilfe
Sie können aufgabenbezogene Anleitungen im Programm „Help Viewer“ anzeigen, während Sie Leopard Server verwalten. Die Online-Hilfe können Sie auf dem Servercomputer oder auf einem Administratorcomputer anzeigen. (Ein Administratorcomputer ist ein
Mac OS X-Computer mit installierter Leopard Server-Verwaltungssoftware.)
Gehen Sie wie folgt vor, um bei einer erweiterten Konfiguration von Leopard Server
die Online-Hilfe anzuzeigen:
m Öffnen Sie das Programm „Server-Admin“ oder den Arbeitsgruppenmanager und führen
Sie danach einen der folgenden Schritte aus:
 Öffnen Sie das Menü „Hilfe“ und suchen Sie nach Informationen über die Aufgabe, die
Sie durchführen wollen.
 Wählen Sie „Hilfe“ > „Server-Admin-Hilfe“ bzw. „Hilfe“ > „ArbeitsgruppenmanagerHilfe“, um in der Hilfe zu blättern oder nach bestimmten Hilfethemen zu suchen.
Die Online-Hilfe umfasst Anleitungen aus dem Handbuch Serveradministration und
anderen Handbüchern für die erweiterte Verwaltung, die im Abschnitt „Dokumentation zu Mac OS X Server“ auf Seite 16 genannt werden.
Gehen Sie wie folgt vor, um die neusten Hilfethemen für den Server anzuzeigen:
m Vergewissern Sie sich, dass der Server- bzw. der Administratorcomputer mit dem Internet
verbunden ist, solange Sie auf die Online-Hilfe zugreifen.
Das Programm „Help Viewer“ lädt daraufhin automatisch die neusten Hilfethemen
zum Server aus dem Internet und speichert sie im Cache. Wenn keine Verbindung zum
Internet besteht, zeigt das Programm „Help Viewer“ die im Cache gespeicherten Hilfethemen an. Vorwort Über dieses Handbuch 15 Dokumentation zu Mac OS X Server
Im Handbuch Einführung wird das Installieren und Einrichten einer Standard- oder
Arbeitsgruppenkonfiguration von Mac OS X Server beschrieben. Zu erweiterten Konfigurationen enthält das Handbuch Serveradministration Anleitungen für die vorbereitende Planung, die Installation, die Konfiguration und die generelle Serververwaltung.
Eine Reihe ergänzender Handbücher beschäftigt sich mit Aspekten der Planung, Konfiguration und Verwaltung bestimmter Dienste. Die PDF-Versionen aller Handbücher
stehen auf der folgenden Website für Mac OS X Server zum Laden bereit:
www.apple.com/de/server/documentation
Dieses Handbuch ... behandelt folgende Themen: Einführung und Arbeitsblatt für
Installation & Konfiguration Installation von Mac OS X Server und erstmalige Konfiguration. Command-Line Administration Installieren, Einrichten und Verwalten von Mac OS X Server mittels
UNIX-Befehlszeilen und UNIX-Konfigurationsdateien. Dateidienste – Administration Gemeinsame Nutzung von Serverlaufwerken (Volumes) und Serverordnern durch Clients auf Basis der Protokolle AFP, NFS, FTP und SMB. iCal-Dienste – Administration Einrichten und Verwalten des Diensts „iCal“ für die gemeinsame
Kalendernutzung. iChat-Dienste – Administration Einrichten und Verwalten des Diensts „iChat“ für die InstantMessaging-Kommunikation. Mac OS X-Sicherheitskonfiguration Erhöhen der Sicherheit für Mac OS X-Computer (Clients)
[beispielsweise für Behörden und Unternehmenskunden]. Mac OS X Server-Sicherheitskonfiguration Erhöhen der Sicherheit von Mac OS X Server und des Servercomputers [beispielsweise für Behörden und Unternehmenskunden] Mail-Dienste – Administration Konfigurieren und Verwalten von IMAP-, POP- und SMTP-MailDiensten auf dem Server. Netzwerkdienste – Administration Einrichten, Konfigurieren und Verwalten der Dienste „DHCP“,
„DNS“, „VPN“, „NTP“, „IP-Firewall“, „NAT“ und „RADIUS“ auf dem
Servercomputer. 16 Open Directory – Administration Einrichten und Verwalten der Verzeichnis- und Identifizierungsdienste und Konfigurieren der Clients im Hinblick auf die Dienste
eines Verzeichnisservers. Podcast-Produzent –
Administration Einrichten und Verwalten des Diensts „Podcast-Produzent“ für die
Aufnahme, Verarbeitung und Verteilung von Podcasts. Druckdienste – Administration Bereitstellen gemeinsam genutzter Drucker und Verwalten deren
zugeordneter Wartelisten und Druckaufträge. QuickTime Streaming und
Broadcasting – Administration Erfassen und Codieren von QuickTime-Inhalten. Konfigurieren und
Verwalten des QuickTime-Streaming-Diensts zum Bereitstellen von
Medien-Streams (live oder auf Anforderung). Serveradministration Ausführen einer erweiterten Installation und Konfiguration von
Serversoftware und Verwalten von Optionen, die für mehrere
Dienste oder den Server als Ganzes gelten. Vorwort Über dieses Handbuch Dieses Handbuch ... behandelt folgende Themen: System-Imaging- und Softwareaktualisierung – Administration Automatisiertes Verwalten des Betriebssystems und anderer von
Client-Computern genutzter Software mittels NetBoot, NetInstall
und Softwareaktualisierung. Aktualisieren und Migrieren Übernahme der Einstellungen für Daten und Dienste aus einer
früheren Version von Mac OS X Server oder Windows NT Benutzerverwaltung Erstellen und Verwalten von Benutzer-Accounts, Gruppen und Computern. Konfigurieren verwalteter Einstellungen für Mac OS X-Clients. Webtechnologie – Administration Einrichten und Verwalten von Webtechnologien (u. a. Web, Blog,
Webmail, Wiki, MySQL, PHP, Ruby on Rails und WebDAV). Xgrid – Administration und
Hochleistungs-Computing Einrichten und Verwalten von Computer-Clustern aus XserveSystemen und Macintosh-Computern. Mac OS X Server – Glossar Informationen zu Fachbegriffen, die im Zusammenhang mit Serverund Massenspeicherprodukten häufig verwendet werden. Anzeigen von PDF-Handbüchern auf dem Bildschirm
Wenn Sie die PDF-Version eines der o. g. Dokumente auf Ihrem Bildschirm anzeigen,
haben Sie folgende Möglichkeiten:
 Sie können die Lesezeichen einblenden, um den Aufbau und die Struktur des Dokuments zu sehen. Durch Klicken auf ein Lesezeichen können Sie direkt zum entsprechenden Abschnitt oder Kapitel blättern.
 Sie können ein Wort oder eine Wortgruppe eingeben, um alle Textstellen mit diesem
Wort bzw. dieser Wortgruppe anzuzeigen. Durch Klicken auf einen Fundstelleneintrag können Sie direkt zu der jeweiligen Seite blättern.
 Sie können auf einen Querverweis klicken, um zu dem Abschnitt zu wechseln, auf
den der Verweis Bezug nimmt. Sie können auf einen Weblink klicken, um die betreffende Website in Ihrem Browser zu öffnen. Vorwort Über dieses Handbuch 17 Drucken der PDF-Handbücher
Wenn Sie ein Handbuch drucken, können Sie mit den folgenden Maßnahmen den
Papier- und Toner- bzw. Tintenverbrauch reduzieren:
 Verzichten Sie darauf, die Titelseite zu drucken, um Toner bzw. Tinte einzusparen.
 Aktivieren Sie im Dialogfenster „Drucken“ die Option für die Ausgabe in Graustufen
oder in Schwarzweiß, um für die Ausgabe auf einem Farbdrucker nur schwarze(n)
Tinte/Toner zu verwenden.
 Reduzieren Sie den Papierverbrauch, indem Sie auf jedem Blatt/Bogen mehrere
Dokumentseiten drucken. Ändern Sie im Druckfenster die Größe auf 115 % (155 %
für die Einführung). Wählen Sie dann „Layout“ aus dem dritten Einblendmenü aus.
Wählen Sie eine der nachfolgend angebotenen Einstellungen für die Option „Beidseitig“, wenn der Drucker die Duplexausgabe unterstützt. Andernfalls wählen Sie „2“
aus dem Einblendmenü „Seiten pro Blatt“ aus und wählen Sie optional „Haarlinie“
aus dem Einblendmenü „Rahmen“ aus. (Bei Verwendung von Mac OS X 10.4 oder
neuer befindet sich die Einstellung „Größe“ im Dialogfenster „Papierformat“ und die
Layouteinstellungen im Druckfenster.)
Da das PDF-Seitenformat kleiner ist als standardmäßiges Druckerpapier, empfiehlt es
sich u. U., die gedruckten Seiten auch dann zu vergrößern, wenn Sie nicht doppelseitig
drucken. Ändern Sie im Druckfenster oder im Dialogfenster „Papierformat“ die Größe
auf „115 %“ (155 % für das Dokument Einführung, das im CD-Format vorliegt). Laden von Aktualisierungen für die Dokumentation
Apple stellt in regelmäßigen Abständen überarbeitete Hilfethemen und Neuauflagen
der Handbücher bereit. Dabei können neue Hilfethemen auch Aktualisierungen für die
letzte Auflage eines Handbuchs enthalten.
 Vergewissern Sie sich, wenn Sie neue Online-Hilfethemen ansehen wollen, dass
Ihr Server- oder Administratorcomputer mit dem Internet verbunden ist. Klicken
Sie danach auf der Hauptseite der Online-Hilfe des verwendeten Programms auf
„Immer auf dem neusten Stand“, um die neusten Hilfethemen zu laden.
 Besuchen Sie die folgende, für die Dokumentation von Mac OS X Server eingerichtete Website, wenn Sie die neusten Auflagen der Handbücher im PDF-Format
laden möchten:
www.apple.com/de/server/documentation 18 Vorwort Über dieses Handbuch Weitere Informationsmöglichkeiten
Für weitere Informationen stehen Ihnen die folgenden Ressourcen zur Verfügung:
 „Bitte lesen“-Dokumente – wichtige Aktualisierungen und spezielle Informationen.
Suchen Sie nach diesen Dokumenten auf den Server-CDs.
 Mac OS X Server-Website (www.apple.com/de/server/macosx) – Zugang zu umfassenden Produkt- und Technologieinformationen.
 Mac OS X Server-Support-Website (www.apple.com/de/support/macosxserver) – Zugriff
auf Hunderte von Artikeln aus dem Apple Support-Bereich.
 Apple Service & Support-Website (www.apple.com/de/support) – Zugriff auf Hunderte
von Artikeln aus dem Apple Support-Bereich.
 Apple Training-Website (www.apple.com/de/training) – von Trainern geführte und in
freier Zeiteinteilung durchzuarbeitende Trainingseinheiten zur Förderung Ihrer Kenntnisse und Fähigkeiten bei der Serververwaltung.
 Apple-Website mit Diskussionsforen (discussions.apple.com) – eine praktische Möglichkeit, Fragen, Kenntnisse und Ratschläge mit anderen Administratoren auszutauschen.
 Apple-Website mit Mailing-Listen (www.lists.apple.com) – abonnieren Sie MailingListen, damit Sie mit anderen Administratoren via E-Mail kommunizieren können.
 OpenLDAP-Website (www.openldap.org) – informieren Sie sich über die Open-SourceSoftware, mit deren Hilfe Open Directory LDAP-Verzeichnisdienste bereitstellt.
 MIT Kerberos-Website (web.mit.edu/kerberos/www) – lesen Sie Hintergrundinformationen und technische Daten zu dem Protokoll, mit dem Open Directory eine sichere
Gesamtauthentifizierung ermöglicht.
 Berkeley DB-Website (www.sleepycat.com) – lesen Sie Funktionsbeschreibungen und
technische Dokumentation zu der Open-Source-Datenbank, die Open Directory für
die Speicherung von LDAP-Verzeichnisdaten verwendet.
 RFC3377 „Lightweight Directory Access Protocol (v3): Technical Specification“
(www.rfc-editor.org/rfc/rfc3377.txt) – führt eine Reihe mit acht weiteren RFC-Dokumenten (Request for Comment) mit zusammenfassenden Informationen und ausführlichen technischen Daten für das LDAPv3-Protokoll auf. Vorwort Über dieses Handbuch 19 1 Verzeichnisdienste mit
Open Directory 1 Die Funktion von Verzeichnisdiensten besteht in der zentralen
Bereitstellung von Informationen über Computerbenutzer und
Netzwerkressourcen in einer Organisation.
Vorteile der Verwendung von Verzeichnisdiensten
Das Speichern von Verwaltungsdaten in einem zentralen Verzeichnis hat viele Vorteile:
 Senkung des Aufwands für die Dateneingabe
 Sicherstellung, dass Netzwerkdienste und -Clients über konsistente Informationen
über Benutzer und Ressourcen verfügen
 Vereinfachung der Verwaltung von Benutzern und Ressourcen
 Bereitstellung von Identifizierungs-, Authentifizierungs- und Autorisierungsinformationen für andere Netzwerkdienste
In Bildungs- und Unternehmensumgebungen sind Verzeichnisdienste eine ideale
Methode zum Verwalten von Benutzern und Computerressourcen. Selbst Organisationen mit nur 10 Mitarbeitern können vom Einsatz eines Verzeichnisdiensts profitieren.
Verzeichnisdienste sind doppelt nützlich: Sie vereinfachen die System- und Netzwerkverwaltung und erleichtern den Benutzern die Arbeit im Netzwerk.
Mit Verzeichnisdiensten sind Administratoren in der Lage, Informationen über alle
Benutzer, wie z. B. zugehörige Namen, Kennwörter und Speicherorte von NetzwerkBenutzerordnern, zentral zu verwalten statt auf jedem einzelnen Computer. Verzeichnisdienste können auch zentralisierte Informationen über Drucker, Computer und
andere Netzwerkressourcen verwalten.
Durch das Zentralisieren der Informationen über Benutzer und Ressourcen lässt sich
der Verwaltungsaufwand für Systemadministratoren senken. Außerdem verfügt jeder
Benutzer über einen zentralisierten Benutzer-Account, um sich an jedem autorisierten
Computer im Netzwerk anzumelden. 21 Mit einem zentralisierten Verzeichnisdienst und einem für Netzwerk-Benutzerordner
konfigurierten Dateidienst stehen einem Benutzer unabhängig davon, wo er sich anmeldet, stets derselbe Benutzerordner, derselbe personalisierte Schreibtisch und dieselben
individuellen Einstellungen zur Verfügung. Der Benutzer hat immer Zugriff auf persönliche Dateien im Netzwerk und kann autorisierte Netzwerkressourcen leicht finden und
verwenden. Verzeichnisdienste und Verzeichnis-Domains
Ein Verzeichnisdienst funktioniert wie ein Mittler zwischen Programm- bzw. Systemsoftwareprozessen, die Informationen zu Benutzern und Ressourcen benötigen, und den
Verzeichnis-Domains (auch: Verzeichnis-Domänen), die diese Informationen enthalten.
Wie die folgende Abbildung zeigt, stellt Open Directory Verzeichnisdienste für Mac OS X
und Mac OS X Server bereit.
Benutzer
Gruppen Drucker Computer
Aktivierte
Volumes VerzeichnisDomains Open
Directory
Programm- und
Systemsoftwareprozesse Open Directory kann auf Informationen in mindestens einer Verzeichnis-Domain
zugreifen. In Verzeichnis-Domains sind Informationen in einer speziellen Datenbank
gespeichert, die für die Verarbeitung vieler Anfragen und für das schnelle Auffinden
und Abrufen von Informationen optimiert wurde.
Auf Mac OS X-Computern ausgeführte Prozesse können Open Directory-Dienste verwenden, um Informationen in Verzeichnis-Domains zu speichern. Wenn Sie zum Beispiel mit dem Arbeitsgruppenmanager einen Benutzer-Account erstellen, speichert
Open Directory den Benutzernamen und andere Account-Informationen in einer Verzeichnis-Domain. Informationen zu Benutzer-Accounts können Sie anschließend im
Arbeitsgruppenmanager prüfen, der Open Directory verwendet, um diese Informationen aus einer Verzeichnis-Domain abzurufen. 22 Kapitel 1 Verzeichnisdienste mit Open Directory Andere Programm- und Systemsoftwareprozesse können die in Verzeichnis-Domains
gespeicherten Benutzer-Account-Informationen ebenfalls verwenden. Wenn ein Benutzer versucht, sich an einem Mac OS X-Computer anzumelden, verwendet der Anmeldeprozess Open Directory-Dienste, um Benutzernamen und Kennwort zu prüfen: Ver
zeichnisDomain Arbeitsgruppenmanager Open
Directory Geschichtlicher Hintergrund
Wie Mac OS X geht auch Open Directory auf UNIX zurück. Open Directory bietet Zugriff
auf Verwaltungsdaten, die bei UNIX-Systemen gewöhnlich in Konfigurationsdateien
gespeichert sind, die einen hohen Verwaltungsaufwand verursachen. (Manche UNIXSysteme benutzen immer noch Konfigurationsdateien.) Open Directory übernimmt die
Konsolidierung und Verteilung der Daten, was einen einfacheren Zugriff und eine einfachere Verwaltung ermöglicht. Datenkonsolidierung
Seit Langem werden Verwaltungsinformationen bei UNIX-Systemen in einer Sammlung
von Dateien im Ordner „/etc“ gespeichert, wie in der folgenden Abbildung dargestellt. /etc/hosts
/etc/group
UNIX-Prozesse /etc/master.passwd Kapitel 1 Verzeichnisdienste mit Open Directory 23 Dieses Schema erforderte, dass jeder UNIX-Computer über seinen eigenen Satz
Dateien verfügte, und Prozesse, die auf einem UNIX-Computer ausgeführt wurden,
dessen Dateien lasen, wenn sie Verwaltungsinformationen benötigten.
Wenn Sie über UNIX-Erfahrung verfügen, kennen Sie wahrscheinlich die Dateien im
Verzeichnis „/etc“ – „group“, „hosts“, „hosts.eqiv“, „master.passwd“ etc. Ein UNIX-Prozess
beispielsweise, der das Kennwort eines Benutzers prüfen muss, nutzt die Datei „/etc/
master.passwd“. Die Datei „/etc/master.passwd“ enthält einen Eintrag für jeden Benutzer-Account. Ein UNIX-Prozess, der Gruppeninformationen benötigt, zieht die Datei
„/etc/group“ zu Rate.
Open Directory konsolidiert Verwaltungsinformationen und vereinfacht so das Zusammenspiel zwischen Prozessen und den von ihnen erstellten und verwendeten Verwaltungsdaten: Open
Directory Mac OS X-Prozesse Prozesse müssen nicht länger wissen, wie und wo administrative Daten gespeichert
sind. Open Directory ruft die Daten für sie ab. Wenn ein Prozess den Speicherort des
Benutzerordners für einen Benutzer benötigt, ruft er die entsprechenden Informationen über Open Directory ab. Open Directory sucht die angefragten Informationen und
meldet sie zurück. Detaillierte Angaben dazu, wie die Informationen gespeichert sind,
werden dabei weggefiltert, wie die folgende Abbildung veranschaulicht. VerzeichnisDomain VerzeichnisDomain Open
Directory Mac OS X-Prozesse 24 Kapitel 1 Verzeichnisdienste mit Open Directory Wenn Sie Open Directory für den Zugriff auf Verwaltungsdaten mehrerer VerzeichnisDomains konfigurieren, nutzt Open Directory die Domains wie erforderlich.
Einige in einer Verzeichnis-Domain gespeicherte Daten entsprechen den in UNIX-Konfigurationsdateien gespeicherten Daten. Beispielsweise werden der Speicherort des
Benutzerordners, der vollständige Name, die Benutzer-ID und die Gruppen-ID in den
Benutzereinträgen einer Verzeichnis-Domain gespeichert statt in der Standarddatei
„/etc/passwd“.
Eine Verzeichnis-Domain speichert jedoch wesentlich mehr Daten, um Funktionen zu
unterstützen, die es nur in Mac OS X gibt, wie z. B. Unterstützung für die Verwaltung
von Mac OS X-Client-Computern. Datenverteilung
Charakteristisch für UNIX-Konfigurationsdateien ist, dass die enthaltenen Verwaltungsdaten nur für die Computer verfügbar sind, auf denen sie gespeichert wurden. Jeder
Computer hat seine eigenen UNIX-Konfigurationsdateien.
Bei UNIX-Konfigurationsdateien müssen auf jedem Computer, den ein Benutzer verwenden will, die Benutzer-Account-Einstellungen dieses Benutzers gespeichert sein, und auf
jedem Computer müssen die Account-Einstellungen für jeden Benutzer gespeichert sein,
der auf den Computer zugreifen können soll. Wenn der Administrator die Netzwerkeinstellungen eines Computers festlegen will, muss er zu dem entsprechenden Computer
gehen und die IP-Adresse und weitere Informationen eingeben, die den Computer im
Netzwerk identifizieren.
Sind Benutzer- oder Netzwerkinformationen in UNIX-Konfigurationsdateien zu ändern,
muss der Administrator die Änderungen wiederum auf dem Computer vornehmen, auf
dem sich die Dateien befinden. Manche Änderungen, wie beispielsweise Netzwerkeinstellungen, erfordern, dass der Administrator die gleichen Änderungen an mehreren
Computern vornimmt. Dieser Ansatz wird schnell unüberschaubar, wenn Netzwerke
an Größe und Komplexität zunehmen. Kapitel 1 Verzeichnisdienste mit Open Directory 25 Open Directory löst dieses Problem, indem administrative Daten in einer VerzeichnisDomain gespeichert werden, die ein Netzwerkadministrator von einem Standort aus
verwalten kann. Mit Open Directory können Sie die Informationen verteilen und für
die Computer, die sie benötigen, und den Administrator, der sie verwaltet, in einem
Netzwerk anzeigen lassen. Dies wird in der folgenden Abbildung veranschaulicht. VerzeichnisDomain Systemadministrator Open
Directory Benutzer Anwendungsmöglichkeiten für Verzeichnisdaten
Mit Open Directory können Netzwerkinformationen leicht in einer Verzeichnis-Domain
zusammengeführt und verwaltet werden. Dies ist jedoch nur dann von Nutzen, wenn
auf Netzwerkcomputern aktive Programm- und Systemsoftwareprozesse auf die Informationen zugreifen.
Mac OS X-System- und -Programmsoftware kann Verzeichnisdaten auf verschiedene
Weise nutzen:
 Anmeldung: Der Arbeitsgruppenmanager kann Benutzereinträge in einer VerzeichnisDomain erstellen. Mit diesen Einträgen können Benutzer identifiziert werden, die sich
an Mac OS X- und Windows-Computern anmelden. Wenn ein Benutzer einen Namen
und ein Kennwort im Mac OS X-Anmeldefenster angibt, fordert der Anmeldeprozess
Open Directory auf, den Namen und das Kennwort zu prüfen. Open Directory verwendet den Namen, um den Account-Eintrag des Benutzers in einer Verzeichnis-Domain
zu suchen, und weitere Daten im Benutzereintrag, um das Kennwort zu prüfen. 26 Kapitel 1 Verzeichnisdienste mit Open Directory  Ordner- und Dateizugriff: Nach der Anmeldung kann ein Benutzer auf Dateien und
Ordner zugreifen. Mac OS X verwendet andere Daten aus dem Benutzereintrag, um
die Zugriffsrechte des Benutzers für jede Datei oder jeden Ordner zu bestimmen.
 Benutzerordner: In jedem Benutzereintrag in einer Verzeichnis-Domain wird der
Speicherort für den Benutzerordner des Benutzers gespeichert. In diesem Ordner
werden die privaten Dateien, Ordner und Einstellungen des Benutzers abgelegt.
Der Benutzerordner eines Benutzers kann sich auf dem Computer befinden, den
der Benutzer immer verwendet, oder er kann sich auf einem Dateiserver im Netzwerk befinden.
 Netzwerkordner mit „Autoaktivierung“: Netzwerkordner können so konfiguriert
werden, dass sie automatisch aktiviert werden. Sie werden dann automatisch im Ordner „Alle“ (dem Netzwerkglobus) in den Finder-Fenstern von Client-Computern angezeigt. Informationen über diese Netzwerkordner mit „Autoaktivierung“ werden in einer
Verzeichnis-Domain gespeichert. Netzwerkordner sind Ordner, Festplatten oder Festplattenpartitionen, die Sie für den Zugriff über das Netzwerk freigegeben haben.
 E-Mail-Account-Einstellungen: Der Eintrag jedes Benutzers in einer VerzeichnisDomain gibt an, ob der Benutzer über den Mail-Dienst verfügt, welche Protokolle
verwendet werden sollen, wie eingehende E-Mails dargestellt werden, ob der
Benutzer auf den Eingang neuer E-Mails hingewiesen wird usw.
 Ressourcennutzung: Festplatten-, Druck- und E-Mail-Zuteilungen können in jedem
Benutzereintrag einer Verzeichnis-Domain gespeichert werden.
 Verwaltete Client-Informationen: Der Administrator kann die Mac OS X-Umgebung von Benutzern verwalten, deren Account-Datensätze in einer VerzeichnisDomain gespeichert sind. Der Administrator nimmt verbindliche Einstellungen
vor, die in der Verzeichnis-Domain gespeichert werden und die persönlichen Einstellungen der Benutzer überschreiben.
 Gruppenverwaltung: Neben Benutzereinträgen werden in einer Verzeichnis-Domain
auch Gruppeneinträge gespeichert. Jeder Gruppeneintrag betrifft alle Benutzer, die
dieser Gruppe angehören. Daten in Gruppeneinträgen geben die Einstellungen für
Gruppenmitglieder an. Gruppeneinträge regeln auch den Zugriff auf Dateien, Ordner
und Computer.
 Verwaltete Netzwerkansichten: Der Administrator kann benutzerdefinierte Ansichten konfigurieren, die die Benutzer sehen, wenn sie das Netzwerksymbol in der Seitenleiste eines Finder-Fensters auswählen. Da diese verwalteten Netzwerkansichten
in einer Verzeichnis-Domain gesichert werden, sind sie automatisch verfügbar, wenn
sich ein Benutzer anmeldet. Kapitel 1 Verzeichnisdienste mit Open Directory 27 Zugriff auf Verzeichnisdienste
Open Directory kann für die folgenden Arten von Verzeichnisdiensten auf VerzeichnisDomains zugreifen:
 LDAP (Lightweight Directory Access Protocol), ein offener Standard, der häufig in
gemischten Umgebungen mit Macintosh-, UNIX- und Windows-Systemen verwendet wird. LDAP ist der native Verzeichnisdienst für freigegebene Verzeichnisse in
Mac OS X Server.
 Lokale Verzeichnis-Domain, der lokale Verzeichnisdienst für alle Mac OS X- und
Mac OS X Server-Versionen ab Version 10.5.
 Active Directory, der Verzeichnisdienst von Microsoft-Servern mit Windows 2000
und 2003.
 NIS (Network Information System), der Verzeichnisdienst vieler UNIX-Server.
 BSD-Flat-Dateien, der überkommene Verzeichnisdienst von UNIX-Systemen. Hintergrundinformationen zu einer Verzeichnis-Domain
Informationen in einer Verzeichnis-Domain werden nach Eintragstyp (auch: Datensatztyp) strukturiert. Bei Eintragstypen handelt es sich um spezielle Kategorien von Informationen wie Benutzer, Gruppen und Computer. Eine Verzeichnis-Domain kann für
jeden Eintragstyp eine beliebige Anzahl von Einträgen enthalten. Jeder Eintrag stellt
eine Sammlung von Attributen dar, und jedes Attribut hat einen oder mehrere Werte.
Wenn Sie sich einen Eintragstyp als Tabelle vorstellen, die eine Kategorie von Informationen enthält, dann sind die Einträge die Zeilen und die Attribute die Spalten der
Tabelle, und jede Tabellenzelle enthält einen oder mehrere Werte.
Wenn Sie zum Beispiel mit dem Arbeitsgruppenmanager einen Benutzer-Account
definieren, erstellen Sie einen Benutzereintrag (einen Eintrag (oder Datensatz) vom
Typ „Benutzer“). Die Einstellungen, die Sie für den Benutzer-Account konfigurieren
(Kurzname, vollständiger Name, Speicherort des Benutzerordners usw.), werden zu
Attributwerten im Benutzereintrag. Der Benutzereintrag und die Werte der darin
enthaltenen Attribute befinden sich in einer Verzeichnis-Domain.
Bei manchen Verzeichnisdiensten wie LDAP und Active Directory werden Eintragstypen nach Objektklasse verwaltet. Objektklassen definieren wie Eintragstypen Kategorien von Informationen. Eine Objektklasse definiert ähnliche Informationen, die als
Eingaben bezeichnet werden, durch Angabe von Attributen, die eine Eingabe enthalten muss oder kann.
Für eine Objektklasse kann eine Verzeichnis-Domain mehrere Eingaben enthalten, die
ihrerseits jeweils mehrere Attribute enthalten können. Manche Attribute haben einen
einzelnen Wert, andere haben mehrere Werte. Zum Beispiel definiert die Objektklasse
„inetOrgPerson“ Eingaben, die Benutzerattribute enthalten. 28 Kapitel 1 Verzeichnisdienste mit Open Directory Die Klasse „inetOrgPerson“ ist eine LDAP-Standardklasse, definiert in RFC 2798. Weitere
LDAP-Standardklassen und -attribute sind in RFC 2307 definiert. Die Standardklassen
und -attribute von Open Directory basieren auf diesen RFCs.
Die Sammlung von Attributen und Eintragstypen oder Objektklassen ist eine Blaupause
für die Informationen in einer Verzeichnis-Domain. Diese Blaupause wird als Schema der
Verzeichnis-Domain bezeichnet. Open Directory verwendet jedoch ein verzeichnisbasiertes Schema, das sich von einem lokal gespeicherten Schema unterscheidet.
Wenn Sie eine lokale Konfigurationsdatei für ein Schema verwenden und dazu einen
Open Directory-Master nutzen wollen, der Replikserver bereitstellt, besteht die Herausforderung darin, dass Sie die entsprechenden Änderungen auch an jeder Replik vornehmen müssen, wenn Sie am lokalen Schema eines Open Directory-Masters ein Attribut
ändern oder hinzufügen. Abhängig von der Anzahl Ihrer Repliken kann der manuelle
Aktualisierungsprozess sehr viel Zeit beanspruchen.
Wenn Sie die Änderungen von Schemata nicht lokal auf alle zugehörigen Repliken
übertragen, erzeugen ihre Replikserver Fehler, wenn Werte für das neu hinzugefügte
Attribut an die Replikserver gesendet werden.
Zur Vermeidung dieses Ausfallrisikos verwendet Mac OS X ein verzeichnisbasiertes
Schema, das in der Verzeichnisdatenbank gespeichert ist und automatisch für alle
Replikserver von der replizierten Verzeichnisdatenbank aktualisiert wird. So wird das
Schema für alle Repliken synchronisiert und eine größere Flexibilität für Änderungen
am Schema erzielt. Die Struktur von LDAP-Verzeichnisinformationen
In einem LDAP-Verzeichnis werden Eingaben in einer hierarchischen Baumstruktur
angelegt. Bei manchen LDAP-Verzeichnissen wird diese Struktur durch geografische
und unternehmensspezifische Einschränkungen vorgegeben. Überwiegend basiert
die Struktur jedoch auf Internet-Domain-Namen.
In einer einfachen Verzeichnisstruktur befinden sich die Eingaben für Benutzer, Benutzergruppen, Computer und andere Objektklassen direkt unter der root-Ebene der Hierarchie,
wie die folgende Abbildung zeigt:
dc=com
dc=beispiel cn=benutzer uid=anne
cn=Anne Johnson cn=gruppen cn=computer uid=juan
cn=Juan Chavez Kapitel 1 Verzeichnisdienste mit Open Directory 29 Auf eine Eingabe wird durch das zugehörige Attribut DN (Distinguished Name) verwiesen. Erzeugt wird dieser Name durch das Verbinden des Eingabenamens, der als
RDN (Relative Distinguished Name) bezeichnet wird, mit den Namen zugehöriger
Vorläufereinträge. Die Eingabe für Anne Johnson könnte beispielsweise als RDN die
Angabe uid=anne und als DN die Angabe uid=anne, cn=benutzer, dc=beispiel,
dc=com enthalten.
Der LDAP-Dienst ruft Daten ab, indem die Hierarchie der Eingaben durchsucht wird.
Der Suchvorgang kann bei einer beliebigen Eingabe beginnen. Die Eingabe, mit der
die Suche beginnt, ist der Suchbeginn.
Sie können den Suchbeginn festlegen, indem Sie den Namen einer Eingabe im LDAPVerzeichnis angeben. Beispielsweise gibt der Suchbeginn cn=benutzer, dc=beispiel,
dc=com an, dass der LDAP-Dienst die Suche bei der Eingabe beginnt, deren cn-Attribut den Wert „benutzer“ hat.
Sie können auch festlegen, wie weit die LDAP-Hierarchie unterhalb des Suchbeginns
durchsucht werden soll. Der Suchbereich kann alle Zweige unter dem Suchbeginn einschließen oder die erste Ebene der Eingaben unter dem Suchbeginn. Wenn Sie Befehlszeilenprogramme für die Suche nach einem LDAP-Verzeichnis verwenden, können Sie
den Suchbereich auch so einschränken, dass nur der Suchbeginn eingeschlossen ist. Lokale und gemeinsam genutzte Verzeichnis-Domains
An welchem Speicherort Sie die Benutzerinformationen und weitere Verwaltungsdaten Ihres Servers ablegen, hängt davon ab, ob die Daten freigegeben werden müssen. Diese Informationen können in der lokalen Verzeichnis-Domain des Servers oder
in einer gemeinsam genutzten Verzeichnis-Domain gespeichert werden. Informationen zur lokalen Verzeichnis-Domain
Jeder Mac OS X Computer hat eine lokale Verzeichnis-Domain. Die Verwaltungsdaten
einer lokalen Verzeichnis-Domain werden ausschließlich für Programme und Systemsoftware angezeigt, die auf dem Computer mit dieser Domain aktiv sind. Dies ist die
erste Domain, die abgefragt wird, wenn sich ein Benutzer anmeldet oder eine andere
Funktion ausführt, die in einer Verzeichnis-Domain gespeicherte Daten erfordert.
Wenn sich der Benutzer an einem Mac OS X-Computer anmeldet, durchsucht Open
Directory die lokale Verzeichnis-Domain des Computers nach dem Eintrag des Benutzers. Wenn die lokale Verzeichnis-Domain den Eintrag des Benutzers enthält (und der
Benutzer das korrekte Kennwort eingegeben hat), wird der Anmeldevorgang fortgesetzt und der Benutzer erhält Zugriff auf den Computer. 30 Kapitel 1 Verzeichnisdienste mit Open Directory Nach der Anmeldung könnte der Benutzer die Option „Mit Server verbinden“ aus dem
Menü „Gehe zu“ wählen und eine Verbindung zum Dateidienst von Mac OS X Server
herstellen. In diesem Fall sucht Open Directory auf dem Server den Benutzereintrag in
der lokalen Verzeichnis-Domain des Servers.
Wenn die lokale Verzeichnis-Domain des Servers einen Eintrag für den Benutzer enthält
(und der Benutzer das korrekte Kennwort eingibt), erlaubt der Server dem Benutzer den
Zugriff auf Dateidienste, wie die folgende Abbildung zeigt: Anmelden
bei
Mac OS X Verbindung zu Mac OS X
Server für Dateidienste
Lokale
VerzeichnisDomain Lokale
VerzeichnisDomain Wenn Sie einen Mac OS X-Computer konfigurieren, wird eine zugehörige lokale Verzeichnis-Domain erstellt und mit Einträgen gefüllt. So wird beispielsweise ein Benutzereintrag
für den Benutzer erstellt, der die Installation durchführt. Er enthält den beim Einrichten
eingegebenen Benutzernamen und das zugehörige Kennwort sowie weitere Informationen, etwa eine eindeutige Benutzer-ID und den Speicherort für den Benutzerordner
des Benutzers. Informationen zu gemeinsam genutzten Verzeichnis-Domains
Open Directory kann zwar auf jedem Mac OS X-Computer Verwaltungsdaten in dessen
lokaler Verzeichnis-Domain ablegen. Die eigentliche Stärke von Open Directory liegt
jedoch darin, dass es mehreren Mac OS X-Computern die gemeinsame Nutzung von
Verwaltungsdaten erlauben kann, indem die Daten in gemeinsam genutzten Verzeichnis-Domains abgelegt werden.
Wenn ein Computer für die Verwendung einer gemeinsam genutzten Domain konfiguriert wird, sind die Verwaltungsdaten in der gemeinsam genutzten Domain auch
für auf diesem Computer aktive Programme und Systemsoftware sichtbar.
Wenn Open Directory den Eintrag eines Benutzers in der lokalen Verzeichnis-Domain
eines Mac OS X-Computers nicht finden kann, kann Open Directory die Suche in allen
gemeinsam genutzten Domains fortsetzen, auf die der Computer Zugriff hat. Kapitel 1 Verzeichnisdienste mit Open Directory 31 Im folgenden Beispiel kann der Benutzer auf beide Computer zugreifen, weil die gemeinsam genutzte Domain, auf die beide Computer Zugriff haben, einen Eintrag für den
Benutzer enthält. Gemeinsam
genutzte
VerzeichnisDomain Anmelden
bei
Mac OS X Verbindung zu Mac OS X
Server für Dateidienste
Lokale
VerzeichnisDomain Lokale
VerzeichnisDomain Gemeinsam genutzte Domains befinden sich im Allgemeinen auf Servern, weil in
Verzeichnis-Domains äußerst wichtige Daten wie die Daten für die Identifizierung
von Benutzern gespeichert sind.
Der Zugriff auf Server ist normalerweise stark eingeschränkt, um die auf ihnen gespeicherten Daten zu schützen. Außerdem müssen Verzeichnisdaten immer verfügbar sein.
Server weisen oft zusätzliche Hardwarefunktionen auf, die ihre Zuverlässigkeit erhöhen,
und sie können an USV-Vorrichtungen angeschlossen werden. 32 Kapitel 1 Verzeichnisdienste mit Open Directory Gemeinsam genutzte Daten in vorhandenen Verzeichnis-Domains
Manche Organisationen – wie Universitäten und weltweit tätige Unternehmen – verwalten Benutzerinformationen und andere Verwaltungsdaten in Verzeichnis-Domains
auf UNIX- und Windows-Servern. Open Directory kann diese Nicht-Apple-Domains und
gemeinsam genutzten Open Directory-Domains von Mac OS X Server-Systemen durchsuchen, wie die folgende Abbildung zeigt.
Mac OS X Server Windows-Server Lokale
VerzeichnisDomain Active
DirectoryDomain Gemeinsam
genutzte
VerzeichnisDomain Lokale
VerzeichnisDomain
Mac OS X-Benutzer Mac OS X-Benutzer Windows-Benutzer Die Reihenfolge, in der Mac OS X Verzeichnis-Domains durchsucht, ist konfigurierbar. Ein
Suchpfad legt die Reihenfolge fest, in der Mac OS X die Verzeichnis-Domains durchsucht.
Erläuterungen zu Suchrichtlinien finden Sie in Kapitel 2 „Open Directory-Suchpfade“. SMB-Dienste und Open Directory
Sie können Mac OS X Server mit Open Directory und mit SMB-Diensten konfigurieren,
um Windows-Workstations bereitzustellen. Bei gemeinsamer Verwendung dieser beiden Dienste können Sie Mac OS X Server als primären Domain-Controller (PDC) oder
als Backup-Domain-Controller (BDC) konfigurieren. Open Directory als primärer Domain-Controller (PDC)
Mac OS X Server kann als Windows-PDC konfiguriert werden, sodass sich Benutzer von
Windows NT-kompatiblen Workstations über Domain-Accounts anmelden können. Ein
PDC stellt jedem Windows-Benutzer jeweils einen Benutzernamen und ein Kennwort
bereit, mit denen sich dieser Benutzer über jede Workstation mit Windows NT 4.x,
Windows 2000, Windows XP und Windows Vista im Netzwerk anmelden kann. Anstatt
sich mit einem Benutzernamen und einem Kennwort anzumelden, die lokal auf einer
Workstation definiert sind, kann sich der jeweilige Benutzer mit dem auf dem PDC definierten Benutzernamen und Kennwort anmelden. Kapitel 1 Verzeichnisdienste mit Open Directory 33 Derselbe Benutzer-Account, der für die Anmeldung über Windows-Workstations verwendet werden kann, kann auch für die Anmeldung über Mac OS X-Computer genutzt
werden. Benutzer mit beiden Plattformen können daher denselben Benutzerordner,
denselben E-Mail-Account und dieselben Druckkontingente auf beiden Plattformen
verwenden. Während der Anmeldung an der Windows-Domain können Benutzer ihr
Kennwort ändern.
Benutzer-Accounts werden im LDAP-Verzeichnis des Servers mit Gruppen-, Computer
und weiteren Informationen gespeichert. Der PDC hat Zugriff auf diese Verzeichnisinformationen, weil Sie den PDC auf einem Server eingerichtet haben, der ein Open
Directory-Master ist und ein LDAP-Verzeichnis bereitstellt.
Darüber hinaus verwendet der PDC den Kennwortserver des Open Directory-Masters
für die Identifizierung von Benutzern, wenn sie sich an der Windows-Domain anmelden. Der Kennwortserver kann Kennwörter mithilfe der Identifizierungsmethoden
„NTLMv2“, „NTLMv1“ und „LAN-Manager“ und mit weiteren Methoden prüfen.
Der Open Directory-Master kann auch über ein Kerberos-KDC (Key Distribution Center)
verfügen. Der PDC verwendet Kerberos nicht für die Identifizierung von Benutzern für
Windows-Dienste. Der Mail-Dienst und weitere Dienste können jedoch für die Verwendung von Kerberos konfiguriert werden, um Benutzer von Windows-Workstations zu
identifizieren, die über Accounts im LDAP-Verzeichnis verfügen.
Ein Benutzer muss den Kennworttyp „Open Directory“ haben, damit sein Kennwort vom
Open Directory-Kennwortserver und von Kerberos geprüft werden kann. Ein BenutzerAccount mit dem Kennworttyp „Crypt“ kann nicht für Windows-Dienste verwendet werden, weil „Crypt“-Kennwörter nicht mithilfe der Identifizierungsmethoden „NTLMv2“,
„NTLMv1“ oder „LAN-Manager“ geprüft werden können.
Beim Server können sich auch Benutzer-Accounts in der zugehörigen lokalen VerzeichnisDomain befinden. Jeder Server mit Mac OS X Server verfügt über einen solchen Account.
Der PDC verwendet diese Accounts nicht für die Anmeldung an Windows-Domains, kann
sie jedoch für die Identifizierung von Benutzern für den Windows-Dateidienst und andere
Dienste nutzen.
Benutzer-Accounts in der lokalen Verzeichnis-Domain, die den Kennworttyp „Shadow“
aufweisen, können für Windows-Dienste verwendet werden, weil „Shadow“-Kennwörter
mithilfe der Identifizierungsmethoden „NTLMv2“, „NTLMv1“ und „LAN-Manager“ und weiterer Methoden geprüft werden können.
Zum Zweck der Kompatibilität unterstützt Mac OS X Server Benutzer-Accounts, die
für die Verwendung der traditionellen Technologie des Identifizierungsmanagers
(Authentification Manager) konfiguriert wurden, damit Kennwörter in den Mac OS X
Server-Versionen 10.0 bis 10.2 geprüft werden können. Nach der Aktualisierung eines
Servers auf Mac OS X Server 10.5 können vorhandene Benutzer ihre bisherigen Kennwörter weiter verwenden. 34 Kapitel 1 Verzeichnisdienste mit Open Directory Ein Benutzer-Account verwendet den Identifizierungsmanager, wenn der Account sich
in einer lokalen Verzeichnis-Domain befindet, für die der Identifizierungsmanager aktiviert wurde, und wenn für den Account die Verwendung eines „Crypt“-Kennworts festgelegt wurde.
Wenn Sie ein Verzeichnis von NetInfo auf LDAP migrieren, werden alle Benutzer-Accounts,
die bisher den Identifizierungsmanager für die Kennwortprüfung verwendet haben, auf
den Kennworttyp „Open Directory“ konvertiert.
Stellen Sie beim Einrichten von Mac OS X Server als PDC sicher, dass es in Ihrem Netzwerk keinen weiteren PDC mit demselben Domain-Namen gibt. Das Netzwerk kann
mehrere Open Directory-Master, aber nur einen einzigen PDC haben. Open Directory als BDC
Durch das Festlegen von Mac OS X als BDC steht dem PDC Ausfallumschaltung und
Datensicherung zur Verfügung. Der PDC und der BDC nutzen Windows-Client-Anfragen für Domain-Anmeldungen und weitere Verzeichnis- und Identifizierungsdienste
gemeinsam. Ist der Mac OS X Server-PDC nicht verfügbar, stellt der Mac OS X ServerBDC den Dienst für die Domain-Anmeldung und weitere Verzeichnis- und Identifizierungsdienste bereit.
Der BDC verfügt über eine synchronisierte Kopie der Benutzer-, Gruppen-, Computerund weiterer Verzeichnisdaten des PDCs. Der PDC und der BDC verfügen außerdem
über synchronisierte Kopien der Identifizierungsdaten. Mac OS X Server synchronisiert
die Verzeichnis- und Identifizierungsdaten automatisch.
Vor dem Einrichten von Mac OS X Server als BDC müssen Sie den Server als Open
Directory-Replik konfigurieren. Der BDC verwendet das schreibgeschützte LDAPVerzeichnis, den Kerberos-KDC und den Kennwortserver der Open Directory-Replik.
Mac OS X Server synchronisiert den PDC und den BDC durch automatisches Aktualisieren der Open Directory-Replik mit den am Open Directory-Master vorgenommenen
Änderungen.
Nach der Installation können Sie mithilfe des Programms „Server-Admin“ den Server
mit Mac OS X Server als Open Directory-Replik und als BDC konfigurieren. Sie können
mehrere BDCs einrichten, die sich jeweils auf einem separaten Open Directory-Replikserver befinden.
Wichtig: Mehrere PDCs sind in einem Netzwerk nicht zulässig. Kapitel 1 Verzeichnisdienste mit Open Directory 35 2 Open Directory-Suchpfade 2 Der Suchpfad eines Computers gibt an, in welcher Reihenfolge Open Directory die Verzeichnis-Domains durchsucht.
Jeder Mac OS X-Computer verfügt über einen Suchpfad, der auch als Suchrichtlinie
bezeichnet wird. Der Suchpfad gibt an, auf welche Verzeichnis-Domains Open Directory
zugreifen kann, etwa auf die lokale Verzeichnis-Domain des Computers und ein bestimmtes freigegebenes Verzeichnis.
Der Suchpfad gibt auch die Reihenfolge an, in der Open Directory auf VerzeichnisDomains zugreift. Open Directory durchsucht alle Verzeichnis-Domains und stoppt die
Suche, wenn eine Übereinstimmung vorliegt. Zum Beispiel stoppt Open Directory die
Suche nach einem Benutzereintrag, wenn es einen Eintrag findet, dessen Benutzername mit dem gesuchten Namen übereinstimmt. Suchpfadebenen
Ein Suchpfad kann nur die lokale Verzeichnis-Domain, die lokale Verzeichnis-Domain
und ein freigegebenes Verzeichnis oder die lokale Verzeichnis-Domain und mehrere
freigegebene Verzeichnisse umfassen.
In einem Netzwerk mit einem gemeinsam genutzten Verzeichnis greifen im Allgemeinen mehrere Computer auf das gemeinsam genutzte Verzeichnis zu. Diese Anordnung
ähnelt einer baumähnlichen Struktur mit dem gemeinsam genutzten Verzeichnis an
der Spitze und lokalen Verzeichnissen unten. Suchpfad für eine lokale Verzeichnis-Domain
Die einfachste Form eines Suchpfads besteht ausschließlich aus der lokalen VerzeichnisDomain eines Computers. In diesem Fall sucht Open Directory Benutzerinformationen
und andere Verwaltungsdaten nur in der lokalen Verzeichnis-Domain jedes Computers.
Wenn ein Server im Netzwerk als Host eines gemeinsam genutzten Verzeichnisses dient,
sucht Open Directory dort keine Benutzerinformationen oder Verwaltungsdaten, weil das
gemeinsam genutzte Verzeichnis nicht Teil des Suchpfads des Computers ist. 37 Die folgende Abbildung zeigt zwei Computer in einem Netzwerk, die ausschließlich ihre
jeweilige lokale Verzeichnis-Domain nach Verwaltungsdaten durchsuchen.
Lokale VerzeichnisDomain Lokale VerzeichnisDomain Computer der Klasse
Englisch Computer der Klasse
Naturwissenschaften Suchpfad
1 Zweistufige Suchpfade
Wenn ein einzelner Server im Netzwerk als Host eines gemeinsam genutzten Verzeichnisses dient, können alle Computer im Netzwerk das gemeinsam genutzte Verzeichnis
in ihre Suchpfade einbeziehen. In diesem Fall sucht Open Directory Benutzerinformationen und andere Verwaltungsdaten zuerst in der lokalen Verzeichnis-Domain. Wenn
Open Directory die erforderlichen Informationen in der lokalen Verzeichnis-Domain
nicht findet, sucht es im gemeinsam genutzten Verzeichnis.
Die folgende Abbildung zeigt zwei Computer und eine gemeinsam genutzte Verzeichnis-Domain in einem Netzwerk. Die Computer sind mit der gemeinsam genutzten Verzeichnis-Domain verbunden und enthalten sie in ihrem Suchpfad.
Lokale VerzeichnisDomain Gemeinsam genutzte
Verzeichnis-Domain Lokale VerzeichnisDomain Suchpfad
1
2 Computer der Klasse
Englisch Computer der Klasse
Naturwissenschaften Es folgt ein Szenario, in dem ein zweistufiger Suchpfad verwendet werden könnte:
Lokale VerzeichnisDomain Gemeinsam genutzte
Verzeichnis-Domain Lokale VerzeichnisDomain Suchpfad
1
2 Computer der Klasse
English Computer der Klasse
Naturwissenschaften
Lokale VerzeichnisDomain Computer der Klasse
Mathematik 38 Kapitel 2 Open Directory-Suchpfade Jede Klasse (Englisch, Mathematik, Naturwissenschaften) verwendet ihren eigenen
Computer. Die Schüler in jeder Klasse sind als Benutzer in der lokalen Domain des
Computers dieser Klasse definiert. Alle drei lokalen Domains verwenden dieselbe
gemeinsam genutzte Domain, in der alle Lehrkräfte definiert sind.
Als Mitglieder der gemeinsam genutzten Domain können sich die Lehrkräfte an den
Computern aller Klassen anmelden. Die Schüler in jeder lokalen Domain können sich
nur an dem Computer anmelden, auf dem sich ihr lokaler Account befindet.
Lokale Domains befinden sich auf den entsprechenden Computern, während sich
gemeinsam genutzte Domains auf einem Server befinden, auf den über den Computer
der lokalen Domain zugegriffen werden kann. Wenn sich eine Lehrkraft an einem Computer in einer der drei Klassen anmeldet und nicht in der lokalen Domain gefunden
wird, durchsucht Open Directory die gemeinsam genutzte Domain.
Das folgende Beispiel enthält nur eine einzelne gemeinsam genutzte Domain. In
komplexeren Netzwerken kann jedoch eine größere Anzahl gemeinsam genutzter
Domains vorliegen.
Mac OS X Server
der Schule Computer der Klasse
Naturwissenschaften Lokale
VerzeichnisDomain
Gemeinsam
genutzte
VerzeichnisDomain Lokale
VerzeichnisDomain Lokale
VerzeichnisDomain Lokale
VerzeichnisDomain
Computer der Klasse
Englisch Kapitel 2 Open Directory-Suchpfade Computer der Klasse
Mathematik 39 Mehrstufige Suchpfade
Wenn mehrere Server im Netzwerk als Host eines gemeinsam genutzten Verzeichnisses dienen, können die Computer im Netzwerk zwei oder mehr gemeinsam genutzte
Verzeichnisse in ihre Suchpfade einbeziehen. Wie bei einfacheren Suchpfaden sucht
Open Directory Benutzerinformationen und andere Verwaltungsdaten stets zuerst in
der lokalen Verzeichnis-Domain. Wenn Open Directory die erforderlichen Informationen in der lokalen Verzeichnis-Domain nicht findet, durchsucht es alle gemeinsam
genutzten Verzeichnisse in der im Suchpfad angegebenen Reihenfolge.
Es folgt ein Szenario, in dem mehrere gemeinsam genutzte Verzeichnisse verwendet
werden könnten:
Suchpfad
1 Verzeichnis-Domain
für Mathematik 2
3 Verzeichnis-Domain
für Englisch Verzeichnis-Domain
der Schule Verzeichnis-Domain für
Natzurwissenschaften Jede Klasse (Englisch, Mathematik, Naturwissenschaften) verfügt über einen Server, der
Host einer gemeinsam genutzten Verzeichnis-Domain ist. Der Suchpfad jedes Computers in einem Klassenzimmer gibt die lokale Domain des Computers, die gemeinsam
genutzte Domain der Klasse und die gemeinsam genutzte Domain der Schule an.
Die Schüler jeder Klasse sind in der gemeinsam genutzten Domain auf dem Server dieser
Klasse als Benutzer definiert, damit sich jeder Schüler an jedem Computer in der Klasse
anmelden kann. Da die Lehrkräfte in der gemeinsam genutzten Domain des Schulservers
definiert sind, können sie sich an allen Computern jedes Klassenzimmers anmelden.
Sie können die Einstellungen für ein ganzes Netzwerk oder eine Gruppe von Computern
festlegen, indem Sie die Domain auswählen, in der Verwaltungsdaten definiert werden
sollen. Je höher die Verwaltungsdaten in einem Suchpfad angesiedelt sind, desto weniger
Stellen müssen geändert werden, wenn sich Benutzer- und Systemressourcen ändern. 40 Kapitel 2 Open Directory-Suchpfade Der wahrscheinlich wichtigste Aspekt von Verzeichnisdiensten für Administratoren ist
die Planung von Verzeichnis-Domains und Suchpfaden. Diese müssen Folgendes widerspiegeln: die Ressourcen, die Sie freigeben wollen, die Benutzer, für die sie freigegeben
werden sollen, und das Verfahren, mit dem Sie Ihre Verzeichnisdaten verwalten wollen. Automatische Suchpfade
Mac OS X-Computer können für das automatische Festlegen von Suchpfaden konfiguriert werden. Ein automatischer Suchpfad besteht aus zwei Teilen, von denen jeweils
ein Teil optional ist:
 Lokale Verzeichnis-Domain
 Gemeinsam genutztes LDAP-Verzeichnis (optional)
Der automatische Suchpfad eines Computers fängt immer mit der lokalen VerzeichnisDomain des Computers an. Wenn ein Mac OS X-Computer nicht mit einem Netzwerk
verbunden ist, durchsucht er die zugehörige lokale Verzeichnis-Domain nach BenutzerAccounts und weiteren Verwaltungsdaten.
Der automatische Suchpfad bestimmt dann, ob der Computer so konfiguriert ist, dass er
eine Verbindung zu einer gemeinsam genutzten lokalen Verzeichnis-Domain herstellen
kann. Der Computer kann mit einer gemeinsam genutzten lokalen Verzeichnis-Domain
verbunden sein, die ihrerseits mit einer weiteren gemeinsam genutzten lokalen Verzeichnis-Domain verbunden sein kann, usw.
Liegt eine Verbindung mit einer lokalen Verzeichnis-Domain vor, bildet sie den zweiten
Teil des automatischen Suchpfads. Weitere Informationen hierzu finden Sie im Abschnitt
„Informationen zur lokalen Verzeichnis-Domain“ auf Seite 30.
Schließlich kann ein Computer mit einem automatischen Suchpfad eine Verbindung
zu einem gemeinsam genutzten LDAP-Verzeichnis herstellen. Beim Starten kann der
Computer die Adresse eines LDAP-Verzeichnisservers über den DHCP-Dienst abrufen.
Der DHCP-Dienst von Mac OS X Server kann eine LDAP-Serveradresse in gleicher
Weise bereitstellen wie die Adressen von DNS-Servern und einem Router.
(Auch ein nicht von Apple stammender DHCP-Dienst kann eine LDAP-Serveradresse
bereitstellen. Diese Funktion ist als DHCP-Option 95 bekannt.)
Wenn der DHCP-Dienst von Mac OS X Server für Clients die Adresse eines LDAP-Servers
für automatische Suchpfade zur Verfügung stellen soll, müssen Sie die LDAP-Optionen
des DHCP-Diensts konfigurieren. Weitere Informationen hierzu finden Sie im Kapitel zu
DHCP im Handbuch Netzwerkdienste – Administration. Kapitel 2 Open Directory-Suchpfade 41 Wenn ein Mac OS X Computer die Adresse eines LDAP-Servers vom DHCP-Server beziehen soll, gehen Sie wie folgt vor:
 Der Computer muss für die Verwendung eines automatischen Suchpfads konfiguriert werden. Dazu gehört das Auswählen der Option zum Hinzufügen von LDAPVerzeichnissen, die durch DHCP bereitgestellt werden. Weitere Informationen hierzu
finden Sie in den Abschnitten „Verwenden von erweiterten Einstellungen für Suchpfade“ auf Seite 149 und „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses“ auf Seite 156.
 Die Netzwerkeinstellungen des Computers müssen für die Verwendung von DHCP
oder DHCP mit manueller IP-Adresse konfiguriert sein. Mac OS X ist anfangs für die
Verwendung von DHCP konfiguriert. Weitere Informationen zum Festlegen von Netzwerkeinstellungen finden Sie in der Mac-Hilfe.
Ein automatischer Suchpfad ist ebenso komfortabel wie flexibel und daher besonders
für Mobilcomputer die beste Wahl. Wenn ein Computer mit einem automatischen Suchpfad vom Netzwerk getrennt, mit einem anderen Netzwerk verbunden oder in ein anderes Teilnetzwerk eingebunden wird, wird der Suchpfad automatisch geändert.
Wenn der Computer vom Netzwerk getrennt wird, verwendet er die lokale VerzeichnisDomain. Ist der Computer mit einem anderen Netzwerk oder Teilnetz verbunden, kann
er die zugehörige Verbindung zur lokalen Verzeichnis-Domain ändern und eine LDAPServeradresse über den DHCP-Dienst im aktuellen Teilnetz abrufen.
Mit einem automatischen Suchpfad muss ein Computer nicht erneut konfiguriert werden, um Verzeichnis- und Identifizierungsdienste am zugehörigen neuen Ort abzurufen.
Wichtig: Wenn Sie Mac OS X für die Verwendung eines automatischen Identifizierungssuchpfads und eines von DHCP bereitgestellten LDAP-Servers bzw. einer von
DHCP bereitgestellten lokalen Verzeichnis-Domain konfigurieren, steigt das Risiko,
dass unbefugte Benutzer Zugang zu Ihrem Computer erhalten. Dieses Risiko ist noch
höher, wenn Ihr Computer für den Zugang zu einem drahtlosen Netzwerk konfiguriert ist. Weitere Informationen hierzu finden Sie im Abschnitt „Schützen von Computern vor unberechtigten Zugriffen über einen DHCP-Server“ auf Seite 153. 42 Kapitel 2 Open Directory-Suchpfade Spezielle Suchpfade
Wenn Sie verhindern möchten, dass ein Mac OS X-Computer den von DHCP zur Verfügung gestellten automatischen Suchpfad verwendet, können Sie einen speziellen Suchpfad für den Computer definieren.
Zum Beispiel könnte ein spezieller Suchpfad angeben, dass zuerst in einer Active
Directory-Domain gesucht wird und dann erst in der gemeinsam genutzten Verzeichnis-Domain eines Open Directory-Servers. Benutzer können ihren Computer so konfigurieren, dass sie sich mithilfe ihrer Benutzereinträge über die Active Directory-Domain
anmelden können und ihre Einstellungen in Gruppen- und Computereinträgen über
die Open Directory-Domain verwaltet werden.
In einem System mehrerer Netzwerke oder ohne Verbindung zu einem Netzwerk funktioniert ein angepasster Suchpfad generell nicht, weil er von der Verfügbarkeit bestimmter
Verzeichnis-Domains bzw. eines bestimmten Netzwerks abhängt.
Wenn ein Mobilcomputer von seinem üblichen Netzwerk getrennt wird, kann er nicht
mehr auf die gemeinsam genutzten Verzeichnis-Domains im zugehörigen angepassten
Suchpfad zugreifen. Der getrennte Computer hat jedoch weiterhin Zugriff auf die eigene
lokale Verzeichnis-Domain, weil sie die erste Verzeichnis-Domain in jedem Suchpfad ist.
Der Benutzer des Mobilcomputers kann sich mithilfe eines Benutzereintrags über die
lokale Verzeichnis-Domain anmelden, die mobile Benutzer-Accounts enthalten kann.
Diese spiegeln Benutzer-Accounts aus der gemeinsam genutzten Verzeichnis-Domain,
auf die der Mobilcomputer bei einer bestehenden Verbindung zu seinem normalerweise verwendeten Netzwerk zugreift. Suchpfade für Identifizierung und Kontakte
Ein Mac OS X-Computer verfügt über einen Suchpfad für Identifizierungsinformationen
und einen separaten Suchpfad für Kontaktinformationen:
 Open Directory verwendet den Suchpfad zur Identifizierung, um Informationen zur
Anmeldung von Benutzern und andere administrative Daten in Verzeichnis-Domains
zu suchen und daraus abzurufen.
 Open Directory verwendet den Suchpfad für Kontakte, um Namen, Adressen und
andere Kontaktinformationen in Verzeichnis-Domains zu suchen und daraus abzurufen. Das Mac OS X-Programm „Adressbuch“ verwendet diese Kontaktinformationen,
und auch andere Programme können entsprechend konfiguriert werden.
Jeder Suchpfad kann automatisch oder angepasst sein oder ausschließlich eine lokale
Verzeichnis-Domain enthalten. Kapitel 2 Open Directory-Suchpfade 43 3 Open Directory-Identifizierung 3 Open Directory stellt mehrere Optionen für die Identifizierung von Benutzern bereit, deren Accounts in VerzeichnisDomains unter Mac OS X Server gespeichert sind. Dazu
gehören Kerberos und die herkömmlichen Identifizierungsmethoden, die für Netzwerkdienste erforderlich sind.
Open Directory kann Benutzer anhand einer der folgenden Methoden identifizieren:
 Kerberos-Identifizierung mit Gesamtauthentifizierung (Single Sign-On)
 Herkömmliche Identifizierungsmethoden und ein in der Kennwortserver-Datenbank
von Open Directory sicher abgelegtes Kennwort
 Herkömmliche Identifizierungsmethoden und ein „Shadow“-Kennwort, das in einer
sicheren „Shadow“-Kennwortdatei für jeden Benutzer gespeichert ist
 Ein direkt im Account des Benutzers gespeichertes „Crypt“-Kennwort, das Kompatibilität mit traditionellen Systemen herstellt
 Ein Nicht-Apple-LDAP-Server für die identifizierte LDAP-Verzeichnisbindung
Zusätzlich ermöglicht Ihnen Open Directory das Konfigurieren einer Kennwortrichtlinie für alle Benutzer sowie bestimmter Kennwortrichtlinien für einzelne Benutzer.
Dabei können Sie z. B. ein automatisches Ablaufen des Kennworts und die minimale
Kennwortlänge festlegen. (Kennwortrichtlinien gelten nicht für Administratoren, für
die „Crypt“-Kennwortidentifizierung oder die identifizierte LDAP-Verzeichnisbindung.) 45 Kennworttypen
Jeder Benutzer-Account besitzt einen Kennworttyp, der die Identifizierung des BenutzerAccounts festlegt. In einer lokalen Verzeichnis-Domain ist der standardmäßige Kennworttyp das „Shadow“-Kennwort. Wurde ein Server von Mac OS X Server 10.3 aktualisiert,
besitzen die Benutzer-Accounts in der lokalen Verzeichnis-Domain u. U. auch einen Open
Directory-Kennworttyp.
Benutzer-Accounts im LDAP-Verzeichnis von Mac OS X Server verwenden standardmäßig den Kennworttyp „Open Directory“. Benutzer-Accounts im LDAP-Verzeichnis können
auch ein Kennwort des Typs „Crypt“-Kennwort haben. Identifizierung und Berechtigung
Dienste wie das Anmeldefenster und der Apple-Dateidienst fordern die Identifizierung
von Benutzern bei Open Directory an. Die Identifizierung ist Teil des Vorgangs, bei dem
ein Dienst ermittelt, ob einem Benutzer der Zugriff auf eine Ressource gestattet werden soll. Meistens erfordert dieser Vorgang auch die Erteilung einer Berechtigung.
Bei der Identifizierung wird die Identität eines Benutzers überprüft, während bei der
Erteilung der Berechtigung bestimmt wird, welche Aktionen der identifizierte Benutzer
ausführen darf. Ein Benutzer identifiziert sich in der Regel durch Angabe eines gültigen
Namens und Kennworts. Ein Dienst kann dem identifizierten Benutzer anschließend die
Berechtigung zum Zugriff auf bestimmte Ressourcen erteilen. So erteilt beispielsweise
der Dateidienst einem Benutzer, dessen Identifizierung erfolgreich abgeschlossen
wurde, alle Zugriffsrechte für dessen Ordner und Dateien.
Die Vorgänge der Identifizierung und Berechtigung kennen Sie zum Beispiel von
einem Einkauf, für den Sie eine Kreditkarte verwenden. Der Verkäufer identifiziert
Sie, indem er Ihre Unterschrift auf dem Kaufbeleg mit der Unterschrift auf Ihrer Kreditkarte vergleicht. Anschließend überträgt der Verkäufer Ihre gültige Kreditkartennummer an die Bank. Diese wiederum genehmigt die Zahlung auf Grundlage Ihres
Kontostands und Ihrer Kreditlinie.
Open Directory identifiziert Benutzer-Accounts, und SACL-Listen (Service Access
Control Lists) berechtigen zur Nutzung von Diensten. Wenn Ihre Identifizierung durch
Open Directory erfolgt, bestimmt die SACL des Anmeldefensters, ob Sie sich anmelden können, die SACL für den AFP-Dienst (Apple Filing Protocol) legt fest, ob Sie eine
Verbindung zum Dateidienst herstellen können, usw.
Einige Dienste legen außerdem fest, ob ein Benutzer für den Zugriff auf bestimmte
Ressourcen berechtigt ist. Für diese Berechtigung kann das Abrufen weiterer Benutzer-Account-Informationen von der Verzeichnis-Domain erforderlich sein. Der AFPDienst z. B. benötigt Informationen zur Benutzer-ID und Gruppenmitgliedschaft, um
zu bestimmen, für welche Ordner und Dateien der Benutzer Lese- und Schreibberechtigungen hat. 46 Kapitel 3 Open Directory-Identifizierung Open Directory-Kennwörter
Wenn der Account eines Benutzers den Kennworttyp „Open Directory“ aufweist, kann der
Benutzer mithilfe von Kerberos oder des Open Directory-Kennwortservers identifiziert
werden. Kerberos ist ein System für die Identifizierung im Netzwerk, das von einem vertrauenswürdigen Server ausgegebene Zertifikate verwendet. Der Open Directory-Kennwortserver unterstützt die üblichen Methoden für die Kennwortidentifizierung, die für
einige Netzwerkdienst-Clients erforderlich sind.
Weder Kerberos noch der Open Directory-Kennwortserver speichern das Kennwort
im Account des Benutzers. Kerberos und der Open Directory-Kennwortserver speichern
Kennwörter in sicheren, von der Verzeichnis-Domain getrennten Datenbanken, und Kennwörter sind niemals lesbar. Kennwörter können nur festgelegt und überprüft werden.
Unberechtigte Benutzer könnten versuchen, sich über das Netzwerk anzumelden, in
der Absicht, Zugriff auf Kerberos und den Open Directory-Kennwortserver zu erlangen.
Durch Open Directory-Protokolle können Sie über fehlgeschlagene Anmeldeversuche
informiert werden. Weitere Informationen hierzu finden Sie im Abschnitt „Anzeigen von
Open Directory-Status und -Protokollen“ auf Seite 210.
Benutzer-Accounts in den folgenden Verzeichnis-Domains können über Open DirectoryKennwörter verfügen:
 im LDAP-Verzeichnis von Mac OS X Server
 in der lokalen Verzeichnis-Domain von Mac OS X Server
Hinweis: Open Directory-Kennwörter können nicht zur Anmeldung an Mac OS X 10.1
(oder älter) verwendet werden. Benutzer, die sich über das Anmeldefenster von
Mac OS X 10.1 (oder neuer) anmelden, müssen für die Verwendung von „Crypt“-Kennwörtern konfiguriert sein. Für andere Dienste ist dieser Kennworttyp nicht relevant.
Zum Beispiel könnte sich ein Benutzer von Mac OS X 10.1 für den Apple-Dateidienst
mit einem Open Directory-Kennwort identifizieren. „Shadow“-Kennwörter
„Shadow“-Kennwörter unterstützen die gleichen üblichen Identifizierungsmethoden
wie ein Open Directory-Kennwortserver. Diese Identifizierungsmethoden werden verwendet, um „Shadow“-Kennwörter verschlüsselt bzw. als Hash-Kennwort (Kennwort
mit Prüfsumme) über das Netzwerk zu senden.
Ein „Shadow“-Kennwort wird in Form mehrerer Prüfsummen in einer Datei auf demselben Computer wie die Verzeichnis-Domain gespeichert, in der sich der BenutzerAccount befindet. Weil das Kennwort nicht im Benutzer-Account gespeichert wird, ist
es nicht leicht, das Kennwort über das Netzwerk abzufangen. Für jeden Benutzer wird
das „Shadow“-Kennwort in einer anderen Datei abgelegt, die als „Shadow“-Kennwortdatei bezeichnet wird. Diese Dateien sind geschützt, damit sie nur vom Account des
root-Benutzers gelesen werden können. Kapitel 3 Open Directory-Identifizierung 47 Nur für Benutzer-Accounts, die in der lokalen Verzeichnis-Domain eines Computers
gespeichert sind, können „Shadow“-Kennwörter verwendet werden. Für BenutzerAccounts, die in einem gemeinsam genutzten Verzeichnis gespeichert sind, ist dies
nicht möglich.
„Shadow“-Kennwörter ermöglichen auch die einfache Identifizierung mobiler Benutzer-Accounts. Umfassende Informationen zu mobilen Benutzer-Accounts finden Sie
im Handbuch Benutzerverwaltung. „Crypt“-Kennwörter
Ein „Crypt“-Kennwort wird in einer Prüfsumme (Hash) im Benutzer-Account gespeichert.
Diese Strategie, auch Basisberechtigung genannt, eignet sich am besten für Software,
die direkt auf Benutzereinträge zugreifen muss. Beispielsweise setzt Mac OS X 10.1 (oder
neuer) das Vorhandensein eines „Crypt“-Kennworts voraus, das im Benutzer-Account
gespeichert ist.
Die „Crypt“-Identifizierung unterstützt eine Kennwortlänge von maximal acht Byte (acht
ASCII-Zeichen). Wenn ein längeres Kennwort in einen Benutzer-Account eingegeben
wird, werden nur die ersten acht Byte für die „Crypt“-Kennwortüberprüfung verwendet.
Dieser Grenzwert gilt nicht für „Shadow“-Kennwörter und Open Directory-Kennwörter.
Für die sichere Übertragung von Kennwörtern in einem Netzwerk unterstützt das
„Crypt“-Verfahren die Methode „DHX“ zur Identifizierung. Bereitstellen einer sicheren Identifizierung für
Windows-Benutzer
Mac OS X Server stellt für Windows-Benutzer dieselben Typen sicherer Kennwörter bereit:
 Open Directory-Kennwörter sind für Domain-Anmeldungen von einer WindowsWorkstation an einen Mac OS X Server-PDC erforderlich und können für die Identifizierung beim Windows-Dateidienst verwendet werden. Dieser Kennworttyp kann
mit einer Vielzahl von Identifizierungsmethoden geprüft werden, einschließlich der
Methoden „NTLMv2“, „NTLMv1“ und „LAN-Manager“. Open Directory-Kennwörter
werden nicht in Benutzer-Accounts, sondern in einer sicheren Datenbank abgelegt.
 Domain-Anmeldungen sind mit „Shadow“-Kennwörtern nicht möglich, Sie können sie
jedoch für den Windows-Dateidienst und weitere Dienste verwenden. Dieser Kennworttyp kann auch mit den Identifizierungsmethoden „NTLMv2“, „NTLMv1“ und „LANManager“ geprüft werden. „Shadow“-Kennwörter werden nicht in Benutzer-Accounts,
sondern in sicheren Dateien gespeichert.
 Ein „Crypt“-Kennwort mit aktiviertem Identifizierungsmanager stellt die Kompatibilität
für Benutzer-Accounts auf einem Server her, der von Mac OS X Server 10.1 aktualisiert
wurde. Nach der Aktualisierung des Servers auf Mac OS X Server 10.5 sollten diese
Benutzer-Accounts für die Verwendung von Open Directory-Kennwörtern umgestellt
werden, die sicherer sind als der herkömmliche Identifizierungsmanager. 48 Kapitel 3 Open Directory-Identifizierung Offline-Angriffe auf Kennwörter
Da „Crypt“-Kennwörter in Benutzer-Accounts gespeichert werden, können sie potenziellen Angriffen ausgesetzt sein.
Benutzer-Accounts in einer gemeinsam genutzten Verzeichnis-Domain sind über das
Netzwerk zugänglich. Jeder Benutzer im Netzwerk, der über das Programm „Arbeitsgruppenmanager“ verfügt oder sich mit Befehlszeilenprogrammen auskennt, kann
den Inhalt von Benutzer-Accounts lesen, einschließlich der darin gespeicherten
„Crypt“-Kennwörter.
Open Directory-Kennwörter und „Shadow“-Kennwörter werden nicht in BenutzerAccounts gespeichert, sodass diese Kennwörter nicht über Verzeichnis-Domains
gelesen werden können.
Ein Angreifer oder Cracker könnte den Arbeitsgruppenmanager oder UNIX-Befehle
verwenden, um Benutzereinträge in eine Datei zu kopieren. Der Cracker kann diese
Datei dann auf ein System übertragen und verschiedene Entschlüsselungstechniken
auf die in den Benutzereinträgen gespeicherten „Crypt“-Kennwörter anwenden. Nach
der Entschlüsselung eines „Crypt“-Kennworts kann sich der Cracker unbemerkt mit
einem gültigen Benutzernamen und Kennwort anmelden.
Diese Art von Angriff wird als Offline-Angriff bezeichnet, weil keine wiederholten
Anmeldeversuche erforderlich sind, um Zugriff auf ein System zu erlangen.
Ein effektives Verfahren, derartige Kennwortangriffe zu unterbinden, ist die Verwendung geeigneter Kennwörter und die Vermeidung von „Crypt“-Kennwörtern. Verwenden Sie für ein Kennwort eine Kombination aus Buchstaben, Ziffern und Symbolen,
die für unbefugte Benutzer nur schwer zu erraten ist.
Geeignete Kennwörter bestehen idealerweise nicht aus tatsächlichen Wörtern. Sie
können Ziffern und Symbole enthalten (etwa # oder $) oder aus dem ersten Buchstaben jedes Worts in einem Satz bestehen. Verwenden Sie sowohl Groß- als auch
Kleinbuchstaben.
„Shadow“- und Open Directory-Kennwörter sind bedeutend weniger anfällig für
Offline-Angriffe, da sie nicht in Benutzereinträgen gespeichert werden.
„Shadow“-Kennwörter werden in separaten Dateien gespeichert, die nur von einem
Benutzer gelesen werden können, der das Kennwort des root-Benutzer-Accounts
kennt (wird auch als Systemadministrator bezeichnet).
Open Directory-Kennwörter werden sicher im Kerberos-KDC und in der Datenbank
des Open Directory-Kennwortservers gespeichert. Das Open Directory-Kennwort
eines Benutzers kann nicht von anderen Benutzern gelesen werden, nicht einmal
von einem Benutzer mit Administratorrechten für die Open Directory-Identifizierung. (Ein solcher Administrator kann Open Directory-Kennwörter und -Kennwortrichtlinien lediglich ändern.) Kapitel 3 Open Directory-Identifizierung 49 „Crypt“-Kennwörter gelten als unsicher. Sie sollten ausschließlich für Benutzer-Accounts
verwendet werden, die mit UNIX-Clients kompatibel sein müssen, die diese Kennwörter
erfordern, oder für Clients von Mac OS X 10.1. Da sie in Benutzer-Accounts gespeichert
werden, sind sie ebenfalls zugänglich und daher dem Risiko von Offline-Angriffen ausgesetzt. (Näheres finden Sie im Abschnitt „Offline-Angriffe auf Kennwörter“.) Obwohl
diese Kennwörter in verschlüsselter Form gespeichert werden, sind sie relativ leicht
zu entschlüsseln.
Verschlüsseln von „Crypt“-Kennwörtern
„Crypt“-Kennwörter werden nicht unverschlüsselt gespeichert. Sie werden durch Verschlüsselung kaschiert und unleserlich gemacht. Ein „Crypt“-Kennwort wird verschlüsselt,
indem eine mathematische Funktion und eine Zufallszahl auf den reinen Kennworttext
angewendet werden. Diese Funktion wird als unidirektionale Hash-Funktion bezeichnet.
Eine unidirektionale Hash-Funktion erzeugt aus einer bestimmten Eingabe immer denselben verschlüsselten Wert, kann aber nicht verwendet werden, um aus der erzeugten verschlüsselten Ausgabe das ursprüngliche Kennwort wiederherzustellen.
Zur Überprüfung eines Kennworts mithilfe des verschlüsselten Werts wendet Mac OS X
die Hash-Funktion auf das vom Benutzer eingegebene Kennwort an und vergleicht es
mit dem im Benutzer-Account oder der „Shadow“-Datei gespeicherten Wert. Sind die
beiden Werte identisch, ist das Kennwort gültig. Bestimmen der zu verwendenden Option zur Identifizierung
Damit ein Benutzer identifiziert werden kann, muss Open Directory zuerst die zu verwendende Option zur Identifizierung bestimmen – Kerberos, Open Directory-Kennwortserver, „Shadow“-Kennwort oder „Crypt“-Kennwort. Der Account des Benutzers enthält
Informationen, die angeben, welche Option zur Identifizierung verwendet werden soll.
Diese Information wird als Attribut zur Berechtigung der Identifizierung bezeichnet.
Open Directory verwendet den vom Benutzer angegebenen Namen, um den Account
des Benutzers in der Verzeichnis-Domain zu finden. Dann liest Open Directory das Attribut zur Berechtigung der Identifizierung im Account des Benutzers aus und bestimmt
so, welche Option zur Identifikation verwendet werden soll. 50 Kapitel 3 Open Directory-Identifizierung Sie können das Attribut zur Berechtigung der Identifizierung eines Benutzers ändern,
indem Sie den Kennworttyp im Bereich „Erweitert“ des Arbeitsgruppenmanagers
ändern, wie in der folgenden Tabelle dargestellt. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern des Kennworttyps eines Benutzers“ auf Seite 123.
Kennworttyp Berechtigung der Identifizierung Attribut im Benutzereintrag Open Directory Open Directory-Kennwortserver
und Kerberos1 Eines oder beide:
 ;ApplePasswordServer;
 ;Kerberosv5; „Shadow“-Kennwort Kennwortdatei für jeden Benutzer,
die nur für den root-BenutzerAccount lesbar ist Eines von beiden:
 ;ShadowHash;2
 ;ShadowHash; „Crypt“-Kennwort Verschlüsseltes Kennwort im
Benutzereintrag Eines von beiden:
 ;basic;
 kein Attribut Benutzer-Accounts unter Mac OS X Server 10.2 müssen zurückgesetzt werden, damit sie das Kerberos-Attribut
zur Berechtigung der Identifizierung enthalten. Näheres hierzu finden Sie im Abschnitt „Aktivieren der KerberosIdentifizierung mit Gesamtauthentifizierung für einen Benutzer“ auf Seite 127.
2 Wenn das Attribut im Benutzereintrag „;ShadowHash;“ lautet (ohne eine Liste der aktivierten Identifizierungsmethoden), so werden standardmäßige Identifizierungsmethoden aktiviert. Die Liste der standardmäßigen
Identifizierungsmethoden unterscheidet sich für Mac OS X Server und Mac OS X.
1 Das Attribut zur Berechtigung der Identifizierung kann mehrere Identifizierungsoptionen festlegen. Ein Benutzer-Account mit einem Open Directory-Kennworttyp besitzt
im Normalfall ein Attribut zur Berechtigung der Identifizierung, das sowohl Kerberos
als auch Open Directory-Kennwortserver angibt.
Ein Benutzer-Account muss kein Attribut zur Berechtigung der Identifizierung enthalten. Wenn der Account eines Benutzers kein Attribut zur Berechtigung der Identifizierung enthält, nimmt Mac OS X Server an, dass ein „Crypt“-Kennwort im Account
des Benutzers gespeichert ist. Beispielsweise enthalten Benutzer-Accounts, die unter
Mac OS X 10.1 (oder neuer) erstellt wurden, ein „Crypt“-Kennwort, aber kein Attribut
zur Berechtigung der Identifizierung. Kennwortrichtlinien
Open Directory erzwingt die Kennwortrichtlinien für Benutzer, die den Kennworttyp
„Open Directory“ oder „Shadow“ aufweisen. Zum Beispiel kann durch die Kennwortrichtlinie eines Benutzers ein Ablaufintervall für das Kennwort festgelegt werden.
Wenn sich der Benutzer anmeldet und Open Directory feststellt, dass das Kennwort
des Benutzers abgelaufen ist, muss der Benutzer das abgelaufene Kennwort ersetzen.
Erst danach kann Open Directory den Benutzer identifizieren. Kapitel 3 Open Directory-Identifizierung 51 Durch Kennwortrichtlinien kann ein Benutzer-Account an einem bestimmten Datum,
nach einer bestimmten Anzahl von Tagen, nach einem vorgegebenen Inaktivitätszeitraum oder nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche deaktiviert werden. Kennwortrichtlinien können auch vorsehen, dass Kennwörter eine
minimale Länge aufweisen, mindestens einen Buchstaben oder mindestens eine Ziffer enthalten, sich vom Account-Namen bzw. von früheren Kennwörtern unterscheiden oder in regelmäßigen Zeitabständen geändert werden müssen.
Die Kennwortrichtlinie für einen mobilen Benutzer-Account ist gültig unabhängig
davon, ob der verwendete Account vom Netzwerk getrennt oder mit ihm verbunden
ist. Die Kennwortrichtlinie eines mobilen Benutzer-Accounts wird für die Offline-Verwendung gespeichert. Weitere Informationen zu mobilen Benutzer-Accounts finden
Sie im Handbuch Benutzerverwaltung.
Kennwortrichtlinien haben keine Auswirkung auf Administrator-Accounts. Für Administratoren gelten keine Kennwortrichtlinien, weil sie die Richtlinien jederzeit ändern
können. Außerdem könnte die Anwendung von Kennwortrichtlinien auf Administratoren diese dem Risiko von DoS-Angriffen (Denial-of-Service) aussetzen.
Kerberos und Open Directory-Kennwortserver verwalten Kennwortrichtlinien getrennt.
Ein Open Directory-Server synchronisiert die Regeln der Kerberos-Kennwortrichtlinie
mit den Regeln der Kennwortrichtlinie des Open Directory-Kennwortservers. Gesamtauthentifizierung
Mac OS X Server verwendet Kerberos für die Gesamtauthentifizierung (Single Sign-On),
sodass die Benutzer nicht mehr für jeden Dienst einzeln einen Benutzernamen und
ein Kennwort eingeben müssen. Bei einer Gesamtauthentifizierung gibt ein Benutzer
immer einen Namen und ein Kennwort im Anmeldefenster ein. Danach ist für den
Benutzer die Eingabe eines Benutzernamens und eines Kennworts für den AppleDateidienst, den Mail-Dienst oder andere Dienste, die die Kerberos-Identifizierung
verwenden, nicht mehr erforderlich.
Benutzer und Dienste, die die Gesamtauthentifizierung nutzen sollen, müssen kerberisiert (für die Kerberos-Identifizierung konfiguriert) sein und denselben Kerberos-KDCServer verwenden.
Benutzer-Accounts, die sich in einem LDAP-Verzeichnis von Mac OS X Server befinden
und den Kennworttyp „Open Directory“ haben, verwenden das integrierte KDC des
Servers. Diese Benutzer-Accounts werden automatisch für Kerberos und die Gesamtauthentifizierung konfiguriert. Die kerberisierten Dienste des Servers verwenden den
integrierten KDC des Servers und sind für die Gesamtauthentifizierung konfiguriert.
Dieses Mac OS X Server-KDC kann auch Benutzer für von anderen Servern bereitgestellte Dienste identifizieren. Liegen mehrere Server Mac OS X Server vor, erfordert
der Mac OS X Server-KDC nur eine minimale Konfiguration. 52 Kapitel 3 Open Directory-Identifizierung Kerberos-Identifizierung
Kerberos wurde am MIT entwickelt, um eine sichere Identifizierung und Kommunikation
über offene Netzwerke wie das Internet zu ermöglichen. Es wurde nach dem dreiköpfigen
Hund benannt, der in der griechischen Mythologie den Eingang zur Unterwelt bewachte.
Kerberos liefert zwei Parteien einen Identitätsnachweis. Sie können damit Netzwerkdiensten, die Sie verwenden möchten, Ihre Identität nachweisen. Außerdem wird Ihren
Programmen bestätigt, dass die Netzwerkdienste echt sind und nicht manipuliert.
Wie andere Identifikationssysteme auch stellt Kerberos keine Autorisierung bereit. Jeder
Netzwerkdienst bestimmt anhand Ihrer nachgewiesenen Identität, welche Aktionen Sie
ausführen dürfen.
Mit Kerberos können ein Client und ein Server sich gegenseitig wesentlich sicherer identifizieren als mit den herkömmlichen Identifizierungsmethoden mit Antwort-Anforderung.
Kerberos stellt auch eine Umgebung für die Gesamtauthentifizierung bereit, in der sich
Benutzer nur einmal am Tag, einmal in der Woche oder einmal in einem bestimmten Zeitraum identifizieren müssen. Dies senkt die Identifizierungshäufigkeit.
Mac OS X Server bietet eine integrierte Kerberos-Unterstützung, die mühelos umgesetzt werden kann. Die Kerberos-Umsetzung verläuft vollkommen automatisch, sodass
Benutzer und Administratoren dies möglicherweise gar nicht bemerken.
Mac OS X 10.3 (und neuer) verwendet automatisch Kerberos, wenn sich ein Benutzer
über einen Account anmeldet, der für die Open Directory-Identifizierung konfiguriert
ist. Es ist die Standardeinstellung für Benutzer-Accounts im Mac OS X Server-LDAPVerzeichnis. Andere vom LDAP-Verzeichnisserver bereitgestellte Dienste wie AFP- und
Mail-Dienst verwenden Kerberos ebenfalls automatisch.
Wenn sich in Ihrem Netzwerk weitere Server mit Mac OS X Server 10.5 befinden, können diese dem Kerberos-Server leicht hinzugefügt werden, und die meisten zugehörigen Dienste verwenden Kerberos automatisch.
Wenn Ihr Netzwerk über ein Kerberos-System wie z. B. Microsoft Active Directory verfügt, können Sie Ihre Mac OS X Server- und Mac OS X-Computer alternativ so konfigurieren, dass sie dieses Kerberos-System für die Identifizierung verwenden.
Mac OS X Server und Mac OS X 10.3 (oder neuer) unterstützen Kerberos 5.
Mac OS X Server und Mac OS X 10.5 bieten keine Unterstützung für Kerberos 4. Kapitel 3 Open Directory-Identifizierung 53 Beseitigen von Schwierigkeiten bei der Kerberos-Implementierung
Bis vor Kurzem war Kerberos hauptsächlich eine Technologie für Universitäten und
Behörden. Einer weiteren Verbreitung der Technologie standen Schwierigkeiten bei
der Übernahme entgegen, die zuerst beseitigt werden mussten.
Mit Mac OS X und Mac OS X Server 10.3 (oder neuer) wurden die folgenden Schwierigkeiten für den Einsatz von Kerberos ausgeräumt:
 Administratoren mussten einen Kerberos-KDC einrichten, dessen Implementierung
und Verwaltung aufwändig war.
 Es gab keine Standardintegration mit einem Verzeichnissystem. Kerberos dient nur
der Identifizierung. Das Speichern von Benutzer-Account-Daten wie z. B. BenutzerID (UID), Speicherort des Benutzerordners oder Gruppenmitgliedschaft wird von
Kerberos nicht übernommen. Der Administrator musste entscheiden, wie Kerberos
in ein Verzeichnissystem integriert werden sollte.
 Server mussten im Kerberos-KDC registriert werden. Dadurch wurde der Konfigurationsprozess des Servers noch arbeitsintensiver.
 Nach dem Einrichten eines Kerberos-Servers musste der Administrator zu allen ClientComputern wechseln und jeden von ihnen einzeln für die Verwendung von Kerberos
konfigurieren. Dieses Verfahren war zeitaufwändig und erforderte die Bearbeitung
von Konfigurationsdateien und die Verwendung von Befehlszeilenprogrammen.
 Ein Paket mit Kerberos-orientierten Programmen (Server- und Client-Software) war
erforderlich. Einige Standardkomponenten waren verfügbar, sie zu portieren und
an die jeweilige Umgebung anzupassen, war jedoch schwierig.
 Nicht alle für die Client-Server-Identifizierung verwendeten Netzwerkprotokolle
sind Kerberos-fähig. Einige Netzwerkprotokolle erfordern noch herkömmliche Identifizierungsmethoden mit Antwort-Anforderung. Außerdem gibt es keine standardmäßige Vorgehensweise für die Integration von Kerberos mit diesen vorhandenen
Netzwerk-Identifizierungsmethoden.
 Ein Kerberos-Client unterstützt die Ausfallumschaltung (Failover). Wenn ein KDC
offline ist, kann also eine Replik verwendet werden, allerdings musste der Administrator herausfinden, wie eine Kerberos-Replik konfiguriert werden konnte.
 Verwaltungswerkzeuge wurden nie integriert. Werkzeuge für das Erstellen und
Bearbeiten von Benutzer-Accounts in der Verzeichnis-Domain waren nicht mit
Kerberos kompatibel und die Kerberos-Werkzeuge waren nicht auf BenutzerAccounts in Verzeichnissen ausgelegt. Das Einrichten eines Benutzereintrags war
ein Standort-spezifischer Vorgang, der durch die Integration des KDC mit dem
Verzeichnissystem bestimmt wurde. 54 Kapitel 3 Open Directory-Identifizierung Ablauf der Gesamtauthentifizierung
Bei Kerberos handelt es sich um ein auf Zertifikaten oder Tickets basierendes System.
Der Benutzer meldet sich einmal beim Kerberos-System an und erhält ein Ticket mit
einer bestimmen Lebensdauer. Während der Lebensdauer dieses Tickets muss sich der
Benutzer nicht erneut identifizieren, um auf einen kerberisierten Dienst zuzugreifen.
Die kerberisierte Client-Software des Benutzers, etwa das Mac OS X-Programm „Mail“,
stellt ein gültiges Kerberos-Ticket bereit, um den Benutzer für einen kerberisierten
Dienst zu identifizieren. Daher spricht man hier von einer Gesamtauthentifizierung
(Single Sign-On).
Ein Kerberos-Ticket ist vergleichbar mit einem Presseausweis für ein Jazzfestival, das
während eines langen Wochenendes in verschiedenen Nachtclubs stattfindet. Sie weisen Ihre Identität einmal nach, um den Ausweis zu erhalten. Bis der Ausweis abläuft,
können Sie ihn bei jedem Nachtclub vorzeigen, um eine Eintrittskarte für eine Vorführung zu erhalten. Alle teilnehmenden Nachtclubs akzeptieren Ihren Ausweis, ohne Ihre
Identität erneut zu prüfen. Sichere Identifizierung
Das Internet ist von Natur aus nicht sicher, und nur wenige Identifizierungsprotokolle
bieten echte Sicherheit. Angreifer können mithilfe von leicht erhältlichen Softwareprogrammen Kennwörter abfangen, die über ein Netzwerk gesendet werden.
Zahlreiche Programme senden Kennwörter in unverschlüsselter Form. Solche Kennwörter können sofort nach dem Abfangen verwendet werden. Sogar verschlüsselte
Kennwörter bieten keine vollständige Sicherheit. Mit ausreichend Zeit und Rechenleistung können auch verschlüsselte Kennwörter geknackt werden.
Zum Abschirmen der Kennwörter in Ihrem privaten Netzwerk können Sie eine Firewall verwenden. Alle Probleme lassen sich auf diese Weise aber nicht lösen. Beispielsweise bietet eine Firewall keinen Schutz vor böswilligem oder unberechtigtem Zugriff
von Benutzern innerhalb des Netzwerks.
Kerberos ist auf das Lösen von Sicherheitsproblemen in Netzwerken ausgelegt.
Kerberos überträgt das Kennwort des Benutzers nie über das Netzwerk und speichert
es auch nicht im Arbeitsspeicher oder auf der Festplatte des Computers des Benutzers.
Daher erfährt ein unbefugter Benutzer das ursprüngliche Kennwort nicht, selbst wenn
die Kerberos-Zertifikate geknackt wurden oder gefährdet sind. Der unbefugte Benutzer kann so höchstens auf einen kleinen Teil des Netzwerks zugreifen.
Kerberos bietet nicht nur eine leistungsstarke Kennwortverwaltung, sondern auch eine
beidseitige Identifizierung. Der Client identifiziert sich gegenüber dem Dienst und der
Dienst gegenüber dem Client. Ein Angriff durch verratene oder ausspionierte Kennwörter ist bei der Verwendung von Kerberos-Diensten nicht möglich. Daher können Benutzer den Diensten vertrauen, auf die sie zugreifen. Kapitel 3 Open Directory-Identifizierung 55 Zusätzliche Möglichkeiten neben Kennwörtern
Die Netzwerkidentifizierung ist schwierig: Zum Implementieren einer Netzwerkidentifizierungsmethode müssen der Client und der Server sich auf eine Identifizierungsmethode einigen. Zwar können sich Client- und Serverprozesse auf eine gemeinsame
Identifizierungsmethode einigen. Eine durchgehende Übernahme dieser Methode
durch eine größere Anzahl von Netzwerkprotokollen, Plattformen und Clients ist
jedoch praktisch unmöglich.
Angenommen, Sie möchten Smart Cards als Identifizierungsmethode für das Netzwerk
verwenden. Ohne Kerberos müssten Sie jedes einzelne Client-/Serverprotokoll ändern,
damit die neue Methode unterstützt wird. Die Liste umfasst die folgenden Protokolle:
SMTP, POP, IMAP, AFP, SMB, HTTP, FTP, IPP, SSH, QuickTime Streaming, DNS, LDAP, lokale
Verzeichnis-Domain, RPC, NFS, AFS, WebDAV, LPR und viele mehr.
In Anbetracht der großen Anzahl der Softwareprogramme, die eine Identifizierung im
Netzwerk ausführen, wäre das Umsetzen einer neuen Identifizierungsmethode für alle
Netzwerkprotokolle eine gewaltige Aufgabe. Für die Software eines einzelnen Anbieters mag dies noch möglich sein. Es ist jedoch unwahrscheinlich, dass Sie alle Anbieter
dazu bewegen können, ihre Client-Software auf die Verwendung Ihrer neuen Methode
umzustellen. Darüber hinaus soll Ihre Identifizierung auf mehreren Plattformen korrekt
arbeiten (z. B. auf Mac OS X, Windows und UNIX).
Kerberos ist so konzipiert, dass ein Client-/Server(binär)protokoll, das Kerberos unterstützt, nicht einmal weiß, wie der Benutzer seine Identität nachweist. Aus diesem Grund
müssen Sie nur den Kerberos-Client und den Kerberos-Server so bearbeiten, dass sie
einen neuen Identitätsnachweis akzeptieren, wie z. B. eine Smart Card. Als Ergebnis
übernimmt Ihr gesamtes Kerberos-Netzwerk die neue Methode zum Identitätsnachweis, ohne neue Versionen von Client- und Serversoftware zu implementieren. Identifizierung auf mehreren Plattformen
Kerberos ist auf allen wichtigen Plattformen verfügbar, einschließlich Mac OS X, Windows,
Linux und anderer UNIX-Varianten. Zentrale Identifizierung
Kerberos stellt eine zentrale Instanz für die Identifizierung im Netzwerk bereit. Alle
Kerberos-fähigen Dienste und Clients verwenden diese zentrale Instanz. Die Administratoren können die Richtlinien und Vorgänge der Identifizierung zentral prüfen
und steuern. 56 Kapitel 3 Open Directory-Identifizierung Kerberos-orientierte Dienste
Kerberos kann Benutzer für die folgenden Dienste von Mac OS X Server identifizieren:
 Anmeldefenster
 Mail-Dienst
 AFP-Dateidienst
 FTP-Dateidienst
 SMB-Dateidienst (als Mitglied eines Active Directory-Kerberos-Realms)
 VPN-Dienst
 Apache-Webdienst
 LDAP-Verzeichnisdienst
 iChat
 Druckdienst
 NFS-Dateidienst
 Xgrid
Diese Dienste wurden kerberisiert, unabhängig davon, ob sie aktiv sind oder nicht.
Nur Kerberos-orientierte Dienste können Kerberos verwenden, um einen Benutzer
zu identifizieren. Mac OS X Server enthält Befehlszeilenprogramme für das Kerberisieren weiterer Dienste, die mit MIT-basiertem Kerberos kompatibel sind. Weitere
Informationen hierzu finden Sie im Kapitel zu Open Directory im Handbuch
Command-Line Administration. Konfigurieren von Diensten für Kerberos nach einer Aktualisierung
Nach der Aktualisierung auf Mac OS X Server 10.5 müssen Sie möglicherweise einige
Dienste für die Verwendung der Kerberos-Gesamtauthentifizierung konfigurieren.
Diese Dienste waren für die Verwendung von Kerberos nicht konfiguriert oder in der
früheren Version von Mac OS X Server nicht enthalten.
Liegt diese Bedingung vor, wird eine entsprechende Nachricht angezeigt, wenn Sie im
Programm „Server-Admin“ eine Verbindung zum Server herstellen. Die Nachricht wird
im Bereich „Übersicht“ angezeigt, wenn Sie den Server (keinen Dienst) in der Liste der
Server auswählen. Kapitel 3 Open Directory-Identifizierung 57 Gehen Sie wie folgt vor, um neue und aktualisierte Dienste für die Verwendung
von Kerberos zu konfigurieren:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum
aktualisierten Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“.
5 Klicken Sie auf „Kerberos-Eintrag hinzufügen“ und geben Sie dann den Namen und
das Kennwort eines Administrator-Accounts für LDAP-Verzeichnisse ein.
Dies wirkt sich nicht auf Dienste aus, die bereits für die Verwendung von Kerberos
konfiguriert wurden. Kerberos-Prinzipale und Realms (Bereiche)
Kerberisierte Dienste sind für die Identifizierung von Prinzipalen konfiguriert, die
einem bestimmten Kerberos-Realm bekannt sind. Sie können sich einen Realm als
eine bestimmte Kerberos-Datenbank oder -Domain zur Identifizierung vorstellen,
die Überprüfungsdaten für Benutzer, Dienste und manchmal Server enthält, die
allesamt als Prinzipale bezeichnet werden.
Zum Beispiel enthält ein Realm die geheimen Schlüssel der Prinzipale, die das Ergebnis
einer auf Kennwörter angewendeten unidirektionalen Funktion sind.
Diensteprinzipale basieren gewöhnlich eher auf nach dem Zufallsprinzip generierten
Verschlüsselungen (Zertifikate, Schlüssel) als auf Kennwörtern.
Es folgen Beispiele für Realm- und Prinzipalnamen. Realm-Namen haben konventionsgemäß eine durchgängige Großschreibung, um sie von DNS-Domain-Namen
zu unterscheiden:
 Bereich: MYREALM.EXAMPLE.COM
 Benutzerprinzipal:
 Server-Prinzipal: afpserver/ Ablauf der Kerberos-Identifizierung
Die Identifizierung mit Kerberos verläuft in mehreren Phasen. In der ersten Phase
erhält der Client Zertifikate, mit deren Hilfe er den Zugriff auf die kerberisierten
Dienste anfordern kann. In der zweiten Phase fordert der Client eine Identifizierung
für einen bestimmten Dienst an. In der letzten Phase legt der Client dem Dienst die
Zertifikate vor. 58 Kapitel 3 Open Directory-Identifizierung In der folgenden Abbildung werden die genannten Aktivitäten dargestellt. Der Dienst
und der Client können dieselbe Entität sein (z. B. das Anmeldefenster) oder in verschiedenen Entitäten vorliegen (z. B. als Mail-Client und als Mail-Server).
4 6 Key Distribution
Center (KDC) Kerberisierter
Dienst 2 3
Client
1 5 1 Der Client identifiziert sich bei einem Kerberos-KDC, der mit Realms kommuniziert, um
auf Identifizierungsdaten zuzugreifen. Dies ist der einzige Schritt, in dem Kennwörter
und zugeordnete Informationen von Kennwortrichtlinien geprüft werden.
2 Der KDC gibt an den Client ein Ticket für die Ticketverteilung aus. Dieses Ticket ist das
Zertifikat, das der Client zur Verwendung kerberisierter Dienste benötigt. Es ist für eine
konfigurierbare Zeitdauer gültig, kann jedoch vor Ablauf entzogen werden. Er wird so
lange auf dem Client gespeichert, bis seine Gültigkeit abgelaufen ist.
3 Der Client kontaktiert den KDC mit dem Ticket für die Ticketverteilung, wenn ein kerberisierter Dienst verwendet werden soll.
4 Das KDC seinerseits stellt ein Ticket für den betreffenden Dienst aus.
5 Der Client legt dieses Ticket dem Dienst vor.
6 Der Server identifiziert den Client durch eine Überprüfung der Gültigkeit des Tickets.
Nach der Identifikation des Clients bestimmt der Dienst, ob der Client zur Verwendung
des Diensts berechtigt ist.
Kerberos führt nur die Identifizierung für Clients durch. Die Berechtigung zur Verwendung von Diensten wird dagegen nicht geprüft. Beispielsweise verwenden viele Dienste
SACLs (Service Access Control Lists – Zugriffssteuerungslisten für Dienste) von Mac OS X
Server, um festzustellen, ob ein Client zur Verwendung des Diensts berechtigt ist.
Kerberos sendet niemals Informationen zu Kennwörtern oder Kennwortrichtlinien an
einen Dienst. Nachdem Erhalt eines Tickets für die Ticketverteilung werden keine Kennwortinformationen bereitgestellt.
Die Uhrzeit ist bei Kerberos sehr wichtig. Wenn beim Client und beim KDC die Zeitangaben um mehrere Minuten voneinander abweichen, kann der Client keine Identifizierung beim KDC durchführen. Die Informationen zu Datum, Uhrzeit und Zeitzone müssen
auf dem KDC-Server und den Clients korrekt sein, und der Server und die Clients müssen alle denselben Netzwerkzeitdienst verwenden, um Ihre Uhren synchron zu halten.
Weitere Informationen zu Kerberos finden Sie auf der MIT-Kerberos-Website unter
web.mit.edu/kerberos/www/index.html. Kapitel 3 Open Directory-Identifizierung 59 Identifizierungsmethoden von Open Directory-Kennwortserver und „Shadow“-Kennwörtern
Zur Herstellung der Kompatibilität mit verschiedenen Diensten kann Mac OS X Server
mehrere Identifizierungsmethoden verwenden, um Open Directory-Kennwörter und
„Shadow“-Kennwörter zu prüfen.
Für Open Directory-Kennwörter verwendet Mac OS X Server das Standardverfahren
SASL (Simple Authentication and Security Layer), um eine Identifizierungsmethode
zwischen einem Client und einem Dienst auszuhandeln.
Bei „Shadow“-Kennwörtern hängt die Verwendung von SASL vom Netzwerkprotokoll
ab. Die folgenden Identifizierungsmethoden werden unterstützt:
Methode Netzwerksicherheit Speichersicherheit Verwendung APOP Verschlüsselt, mit
Sicherung in unverschlüsselter Form Unverschlüsselt POP-Mail-Dienst CRAM-MD5 Verschlüsselt, mit
Sicherung in unverschlüsselter Form Verschlüsselt IMAP-Mail-Dienst, LDAP-Dienst DHX Verschlüsselt Verschlüsselt AFP-Dateidienst,
Open Directory-Verwaltung Digest-MD5 Verschlüsselt Verschlüsselt Anmeldefenster, Mail-Dienst MS-CHAPv2 Verschlüsselt Verschlüsselt VPN-Dienst NTLMv1 und NTLMv2 Verschlüsselt Verschlüsselt SMB-Dienste (Windows NT/98
oder neuer) LAN-Manager Verschlüsselt Verschlüsselt SMB-Dienste (Windows 95) WebDAV-Digest Verschlüsselt Unverschlüsselt WebDAV-Dateidienst (iDisk) Open Directory unterstützt viele Identifizierungsmethoden, weil alle Dienste, für die
eine Identifizierung erforderlich ist, verschiedene Methoden verwenden. Beispielsweise verwendet der Dateidienst eine bestimmte Gruppe von Identifizierungsmethoden, während der Webdienst eine andere Gruppe von Methoden verwendet und der
Mail-Dienst wiederum eine andere Gruppe nutzt usw.
Bestimmte Methoden zur Identifizierung sind sicherer als andere. Die sichereren Methoden verwenden leistungsfähigere Algorithmen zum Verschlüsseln der Informationen,
die sie zwischen Client und Server übertragen. Die sichereren Identifizierungsmethoden
speichern außerdem Prüfsummen, die nicht leicht vom Server wiederhergestellt werden
können. Weniger sichere Methoden speichern ein wiederherstellbares, unverschlüsseltes Kennwort. 60 Kapitel 3 Open Directory-Identifizierung Kein Benutzer, auch kein Administrator oder root-Benutzer, kann verschlüsselte Kennwörter wiederherstellen, indem er sie aus der Datenbank liest. Ein Administrator kann
den Arbeitsgruppenmanager verwenden, um ein Kennwort für einen Benutzer festzulegen, aber er kann das Kennwort eines Benutzers nicht lesen.
Wenn Sie Mac OS X Server 10.4 (oder neuer) mit einer Verzeichnis-Domain von
Mac OS X Server 10.3 (oder älter) verbinden, können Benutzer, die in der älteren Verzeichnis-Domain definiert wurden, nicht mit der Methode „NTLMv2“ identifiziert werden. Diese Methode kann erforderlich sein, um einige Windows-Benutzer sicher für
die Windows-Dienste von Mac OS X Server 10.4 (oder neuer) zu identifizieren.
Der Open Directory-Kennwortserver in Mac OS X Server 10.4 (oder neuer) unterstützt
die NTLMv2-Identifizierung, NTLMv2 wird vom Kennwortserver in Mac OS X Server 10.3
(oder älter) jedoch nicht unterstützt.
Wenn Sie Mac OS X Server 10.3 (oder neuer) mit einer Verzeichnis-Domain von
Mac OS X Server 10.2 (oder älter) verbinden, können Benutzer, die in der älteren Verzeichnis-Domain definiert wurden, nicht mit der Methode „MS-CHAPv2“ identifiziert
werden. Diese Methode kann erforderlich sein, um Benutzer sicher für den VPN-Dienst
von Mac OS X Server 10.3 (oder neuer) zu identifizieren.
Der Open Directory-Kennwortserver in Mac OS X Server 10.3 (oder neuer) unterstützt
die MS-CHAPv2-Identifizierung, MS-CHAPv2 wird vom Kennwortserver in Mac OS X
Server 10.2 jedoch nicht unterstützt. Deaktivieren von Identifizierungsmethoden von Open Directory
Sie können Identifizierungsmethoden wahlweise deaktivieren, um das Speichern von
Open Directory-Kennwörtern auf dem Server sicherer zu machen.
Wenn beispielsweise keiner der Clients Windows-Dienste verwendet, können Sie die
Identifizierungsmethoden „NTLMv1“, „NTLMv2“ und „LAN-Manager“ deaktivieren, um
das Speichern von Kennwörtern auf dem Server mithilfe dieser Methoden zu unterbinden. Sollte also ein Benutzer unbefugt Zugriff auf die Kennwortdatenbank des Servers
erlangen, kann er keine Schwächen in diesen Identifizierungsmethoden ausnutzen, um
Kennwörter zu knacken.
Wichtig: Wenn Sie eine Identifizierungsmethode deaktivieren, wird die zugehörige Prüfsumme bei der nächsten Identifizierung des Benutzers aus der Kennwortdatenbank entfernt. Wenn Sie eine bisher deaktivierte Identifizierungsmethode aktivieren, muss jedes
Open Directory-Kennwort zurückgesetzt werden, damit die Prüfsumme der neu aktivierten Methode zur Kennwortdatenbank hinzugefügt wird. Benutzer können ihre Kennwörter selbst zurücksetzen, dies kann aber auch ein Verzeichnisadministrator übernehmen. Kapitel 3 Open Directory-Identifizierung 61 Durch das Deaktivieren einer Identifizierungsmethode wird die Datenbank des Open
Directory-Kennwortservers sicherer für den Fall, dass ein unbefugter Benutzer physisch
Zugriff auf einen Open Directory-Server (Master oder Replik) oder auf Medien erhält,
die eine Sicherheitskopie des Open Directory-Masters enthalten.
Unbefugte Benutzer könnten versuchen, das Kennwort eines Benutzers durch Angriffe
auf die Prüfsumme oder wiederherstellbaren Text zu knacken, die bzw. der von einer
Identifizierungsmethode in der Kennwort-Datenbank abgelegt wurde. Eine deaktivierte Identifizierungsmethode speichert nichts in der Kennwortdatenbank und ist
somit ein Einfallstor weniger für einen unbefugten Benutzer, der physisch Zugriff auf
den Open Directory-Server oder auf eine entsprechende Sicherungskopie erlangt hat.
Einige in der Kennwortdatenbank gespeicherte Prüfsummen sind leichter zu knacken
als andere. Wiederherstellbare Identifizierungsmethoden speichern reinen (direkt lesbaren) Text. Durch das Deaktivieren von in reinem Text speichernden Identifizierungsmethoden oder von weniger leistungsstarken Prüfsummen wird die Sicherheit einer
Kennwortdatenbank mehr erhöht als durch das Deaktivieren von Methoden, die leistungsstärkere Prüfsummen speichern.
Wenn Sie überzeugt sind, dass Ihr Open Directory-Master und die entsprechenden
Repliken und Sicherungskopien sicher sind, können Sie alle Identifizierungsmethoden
auswählen. Wenn Sie nicht sicher sind, ob bestimmte Open Directory-Server oder zugehörige Sicherungsmedien physisch sicher sind, deaktivieren Sie einige Methoden.
Hinweis: Durch das Deaktivieren von Identifizierungsmethoden wird die Sicherheit
von Kennwörtern bei der Übertragung über das Netzwerk nicht erhöht. Dies hat nur
Auswirkungen auf die Sicherheit der Kennwortdatenbank. Werden bestimmte Identifizierungsmethoden deaktiviert, so müssen einige Clients u. U. sogar ihre Software für
das Senden von unverschlüsselten Kennwörtern über das Netzwerk konfigurieren.
Dadurch wird die Kennwortsicherheit dann auf eine andere Weise eingeschränkt. Deaktivieren von Identifizierungsmethoden mit „Shadow“-Kennwörtern
Sie können Identifizierungsmethoden einzeln deaktivieren, um in „Shadow“-Kennwortdateien gespeicherte Kennwörter sicherer zu machen. Wenn ein Benutzer z. B. den Mailoder Webdienst nicht verwendet, können Sie die WebDAV-Digest- und APOP-Methoden
für den Benutzer deaktivieren. Dann kann ein unbefugter Benutzer, der Zugriff auf die
„Shadow“-Kennwortdateien auf einem Server erlangt, das Kennwort des Benutzers
nicht wiederherstellen. 62 Kapitel 3 Open Directory-Identifizierung Wichtig: Wenn Sie eine Identifizierungsmethode für „Shadow“-Kennwörter deaktivieren, wird die zugehörige Prüfsumme bei der nächsten Identifizierung des Benutzers
aus der „Shadow“-Kennwortdatenbank entfernt. Wenn Sie eine bisher deaktivierte
Identifizierungsmethode aktivieren, wird die Prüfsumme der erneut aktivierten
Methode der „Shadow“-Kennwortdatei des Benutzers hinzugefügt, wenn er sich das
nächste Mal für einen Dienst identifiziert, der Kennwörter in reiner Textform verwenden kann, wie z. B. das Anmeldefenster oder AFP. Alternativ können Sie das Kennwort
des Benutzers zurücksetzen, damit die Prüfsumme der neu aktivierten Methode hinzugefügt wird. Das Kennwort kann vom Benutzer oder einem Verzeichnisadministrator zurückgesetzt werden.
Durch das Deaktivieren einer Identifizierungsmethode werden „Shadow“-Kennwörter
sicherer für den Fall, dass ein unbefugter Benutzer physisch Zugriff auf die „Shadow“Kennwortdateien eines Servers oder auf Medien erlangt, die eine Sicherungskopie der
„Shadow“-Kennwortdateien enthalten. Unbefugte Benutzer mit Zugriff auf die Kennwortdateien könnten versuchen, das Kennwort eines Benutzers durch Angriffe auf die
Prüfsumme oder wiederherstellbaren Text zu knacken, die bzw. der von einer Identifizierungsmethode gespeichert wurde.
Eine deaktivierte Identifizierungsmethode speichert nichts und ist somit ein Einfallstor
weniger für einen unbefugten Benutzer, der physisch Zugriff auf die „Shadow“-Kennwortdateien eines Servers oder auf eine entsprechende Sicherungskopie erlangt hat.
Bei einigen Identifizierungsmethoden sind die gespeicherten Prüfsummen leichter zu
knacken als bei anderen. Bei wiederherstellbaren Identifizierungsmethoden kann das
ursprüngliche, in reinem Text erstellte Kennwort aus den in der Datei gespeicherten
Daten wiederhergestellt werden. Durch das Deaktivieren von Identifizierungsmethoden, die wiederherstellbare oder weniger leistungsstarke Prüfsummen speichern, wird
die Sicherheit von „Shadow“-Kennwortdateien mehr erhöht als durch das Deaktivieren
von Methoden, die leistungsstärkere Prüfsummen speichern.
Wenn Sie überzeugt sind, dass die „Shadow“-Kennwortdateien und Sicherungskopien
eines Servers sicher sind, können Sie alle Identifizierungsmethoden auswählen. Wenn
Sie nicht sicher sind, ob der Server oder die zugehörigen Sicherungsmedien an einem
sicheren Ort unter Verschluss sind, deaktivieren Sie nicht verwendete Methoden.
Hinweis: Durch das Deaktivieren von Identifizierungsmethoden wird die Sicherheit von
Kennwörtern bei der Übertragung über das Netzwerk nicht erhöht. Dies hat lediglich
Auswirkungen auf die Sicherheit der Kennwortspeicherung. Werden bestimmte Identifizierungsmethoden deaktiviert, so müssen einige Clients u. U. sogar ihre Software für
das Senden von unverschlüsselten Kennwörtern über das Netzwerk konfigurieren.
Dadurch wird die Kennwortsicherheit dann auf eine andere Weise eingeschränkt. Kapitel 3 Open Directory-Identifizierung 63 Inhalt der Datenbank des Open Directory-Kennwortservers
Der Open Directory-Kennwortserver verwaltet eine Datenbank zur Identifizierung
getrennt von der Verzeichnis-Domain. Open Directory schränkt den Zugriff auf die
Datenbank für die Identifizierung stark ein.
Der Open Directory-Kennwortserver sichert die folgenden Informationen für jeden
Benutzer-Account, der den Kennworttyp „Open Directory“ aufweist, in der Datenbank
zur Identifizierung.
 Die Kennwort-ID des Benutzers, ein 128-Bit-Wert, der beim Erstellen des Kennworts
zugewiesen wird. Sie wird auch im Eintrag des Benutzers in der Verzeichnis-Domain
gespeichert und als Schlüssel zum Suchen des Benutzereintrags in der Datenbank
des Open Directory-Kennwortservers verwendet.
 Das Kennwort, gespeichert in wiederherstellbarer Form (unverschlüsselt) oder in Form
einer Prüfsumme (verschlüsselt). Die Art der Speicherung hängt von der Methode zur
Identifizierung ab. Für APOP und WebDAV wird ein wiederherstellbares Kennwort
gespeichert. Für alle anderen Methoden wird im Eintrag für das Kennwort eine Prüfsumme (verschlüsselt) gespeichert. Wenn keine Methode zur Identifizierung aktiviert
ist, die ein unverschlüsseltes Kennwort erfordert, werden in der Datenbank der Open
Directory-Identifizierung nur Prüfsummen von Kennwörtern gespeichert.
 Den Kurznamen des Benutzers, zur Verwendung in Protokollmeldungen, die im Programm „Server-Admin“ angezeigt werden können.
 Daten der Kennwortrichtlinien
 Zeitmarken und andere Informationen über die Verwendung, z. B. der Zeitpunkt der
letzten Anmeldung oder der letzten fehlgeschlagenen Bestätigung, die Summe der
fehlgeschlagenen Bestätigungen und Replik-Informationen. Identifizierte LDAP-Verzeichnisbindung
Für Benutzer-Accounts, die sich in einem LDAP-Verzeichnis auf einem nicht von Apple
stammenden Server befinden, versucht Open Directory, eine identifizierte LDAP-Verzeichnisbindung zu verwenden. Open Directory sendet an den LDAP-Verzeichnisserver
den Namen und das Kennwort, die vom zu identifizierenden Benutzer angegeben wurden. Wenn der LDAP-Server einen übereinstimmenden Benutzereintrag mit dem zugehörigen Kennwort findet, verläuft die Identifizierung erfolgreich.
Wenn der LDAP-Verzeichnisdienst und die Verbindung des Client-Computers für das
Senden von in reinem Text erstellten Kennwörtern über das Netzwerk konfiguriert
sind, ist die identifizierte LDAP-Verzeichnisbindung möglicherweise nicht sicher. 64 Kapitel 3 Open Directory-Identifizierung Open Directory versucht, eine sichere Identifizierungsmethode mit dem LDAP-Verzeichnis zu verwenden. Wenn das Verzeichnis keine sichere identifizierte LDAP-Verzeichnisbindung unterstützt und die LDAPv3-Verbindung des Clients das Senden von Kennwörtern
in reiner Textform erlaubt, kehrt Open Directory zur einfachen identifizierten LDAP-Verzeichnisbindung zurück.
Wenn Sie die Identifizierung über reinen Text unterbinden wollen, stellen Sie sicher,
dass Ihre LDAP-Server keine Kennwörter in reiner Textform akzeptieren.
In diesem Fall können Sie die einfache identifizierte LDAP-Verzeichnisbindung sicherer
machen, indem Sie für den Zugriff auf das LDAP-Verzeichnis das SSL-Protokoll (Secure
Sockets Layer) festlegen. SSL macht den Zugriff sicher, indem die gesamte Kommunikation mit dem LDAP-Verzeichnis verschlüsselt wird. Weitere Informationen finden Sie
in den Abschnitten „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf
Seite 170 und „Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis“ auf
Seite 169. Kapitel 3 Open Directory-Identifizierung 65 4 Programme zur Planung und
Verwaltung von Open Directory 4 Dieses Kapitel stellt Richtlinien für die Planung von Open
Directory-Diensten vor und beschreibt Werkzeuge zu ihrer Verwaltung. Wie die Leitungen und Drähte in einem Gebäude sollten auch die Verzeichnisdienste für ein Netzwerk sorgfältig im
Voraus und nicht auf spontan geplant werden.
Das Ablegen von Informationen in gemeinsam genutzten Verzeichnis-Domains gibt
Ihnen eine bessere Kontrolle über Ihr Netzwerk, bietet einer größeren Zahl von Benutzern Zugriff auf die entsprechenden Informationen und vereinfacht die Verwaltung der
Informationen. Der Umfang und die Bedienungsfreundlichkeit der Steuerungsmöglichkeiten hängt davon ab, wie sorgfältig Sie Ihre gemeinsam genutzten Domains planen.
Ziel der Planung von Verzeichnis-Domains ist es, die einfachste Anordnung gemeinsam
genutzter Domains zu erstellen, die Ihren Mac OS X-Benutzern den Zugriff auf benötigte
Netzwerkressourcen erlaubt und die Zeit minimiert, die Sie für die Verwaltung von Benutzereinträgen und weiteren Verwaltungsdaten aufwenden müssen. 67 Allgemeine Richtlinien für die Planung
Wenn Sie Benutzer- und Ressourceninformationen nicht für mehrere Mac OS X-Computer freigeben, ist der erforderliche Planungsaufwand für Verzeichnis-Domains sehr gering,
weil der Zugriff auf alle Informationen über eine lokale Verzeichnis-Domain möglich ist.
Stellen Sie jedoch sicher, dass alle Benutzer, die einen bestimmten Mac OS X-Computer
verwenden, über Benutzer-Accounts auf diesem Computer verfügen. Diese BenutzerAccounts befinden sich in der lokalen Verzeichnis-Domain auf dem Computer.
Zusätzlich müssen alle Benutzer, die den Dateidienst, den Mail-Dienst oder andere
Dienste von Mac OS X Server benötigen, für die eine Identifizierung erforderlich ist,
über einen Benutzer-Account in der lokalen Verzeichnis-Domain des Servers verfügen. Bei dieser Anordnung hat jeder Benutzer zwei Accounts, wie in der folgenden
Abbildung gezeigt: einen für die Anmeldung am Computer und einen für den Zugriff
auf Mac OS X Server-Dienste. Der Benutzer meldet sich an der lokalen VerzeichnisDomain des Mac OS X-Computers an und verwendet dann einen anderen Account
für die Anmeldung an der lokalen Verzeichnis-Domain des Servers für Dateidienste. Anmelden
bei
Mac OS X Verbindung zu Mac OS X
Server für Dateidienste
Lokale
VerzeichnisDomain Lokale
VerzeichnisDomain Zum Freigeben von Informationen für Mac OS X-Computer und -Server müssen Sie
mindestens eine gemeinsam genutzte Verzeichnis-Domain konfigurieren. Bei dieser
Anordnung benötigt jeder Benutzer nur in der gemeinsam genutzten VerzeichnisDomain einen Account.
Der Benutzer kann sich über diesen Account bei Mac OS X von jedem beliebigen
Computer aus anmelden, der für den Zugriff auf die gemeinsam genutzte Verzeichnis-Domain konfiguriert ist. Außerdem kann der Benutzer über diesen Account auf
Dienste beliebiger Mac OS X Server zugreifen, die für den Zugriff auf die gemeinsam
genutzte Verzeichnis-Domain konfiguriert sind. 68 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Die folgende Abbildung zeigt eine Konfiguration mit einer gemeinsam genutzten
Verzeichnis-Domain. Dargestellt ist ein Benutzer, der sich unter Verwendung eines
Accounts für eine gemeinsam genutzte Verzeichnis-Domain an einem Mac OS XComputer anmeldet. Danach wird der Account für die gemeinsam genutzte Verzeichnis-Domain außerdem für den Zugriff auf einen Dateidienst verwendet. Wenn der
Benutzer auf den Dateidienst zuzugreifen versucht, greift der Dateidiensteserver auf
die gemeinsam genutzte Verzeichnis-Domain zu, um den Benutzer-Account zu prüfen. Da der Benutzercomputer und der Computer für Dateidienste mit der gemeinsam genutzten Verzeichnis-Domain verbunden sind, wird der Benutzer-Account in
der gemeinsam genutzten Verzeichnis-Domain verwendet, um sowohl auf einen
Computer als auch auf Dienste zuzugreifen, ohne dass auf jedem Computer ein
lokaler Account vorliegen muss. Gemeinsam
genutzte
VerzeichnisDomain Anmelden
bei
Mac OS X Verbindung zu Mac OS X
Server für Dateidienste
Lokale
VerzeichnisDomain Lokale
VerzeichnisDomain In vielen Organisationen ist ein einzelne gemeinsam genutzte Verzeichnis-Domain
angemessen. Sie kann Hunderttausende von Computern verwalten, die dieselben
Ressourcen gemeinsam nutzen, etwa Druckerwartelisten, Netzwerkordner für Benutzerordner, Netzwerkordner für Programme und Netzwerkordner für Dokumente.
Beim Replizieren der gemeinsam genutzten Verzeichnis-Domain kann die Kapazität
bzw. die Leistung des Verzeichnissystems erhöht werden, indem Sie mehrere Server
für die Handhabung der Verzeichnissystemauslastung für das Netzwerk konfigurieren. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 69 Für größere, komplexere Organisationen sind möglicherweise zusätzliche gemeinsam
genutzte Verzeichnis-Domains von Nutzen. Die folgende Abbildung zeigt, wie die Verzeichnis-Domains in einer solchen komplexen Organisation angeordnet sein könnten.
Windows-Server Lokale
VerzeichnisDomain
Gemeinsam
genutzte
VerzeichnisDomain Mac OS X Server Aktive
VerzeichnisDomain Lokale
VerzeichnisDomain
Mac OS X-Benutzer Windows-Benutzer Wenn Sie eine große Organisation haben, in der Sie die Leistung und die Kapazität Ihrer
Netzwerk-Verzeichnis-Domain erhöhen wollen, können Sie Ihrem Netzwerk mehrere Verzeichnis-Domains hinzufügen. Durch Hinzufügen mehrerer Verzeichnis-Domains können
Sie außerdem die Last Ihrer Unternehmens-Verzeichnis-Domain verteilen.
Es gibt verschiedene Methoden zum Konfigurieren mehrerer Verzeichnis-Domains.
Durch eine Analyse Ihrer Netzwerktopologie können Sie die beste Methode für Ihr
Netzwerk ermitteln. Die folgenden Konfigurationen für mehrere Verzeichnis-Domains
sind optional:
 Open Directory mit einer zuvor vorhandenen Domain. Sie können einen Mac OS XOpen Directory-Server in einem Netzwerk konfigurieren, das eine zuvor vorhandene Verzeichnis-Domain hat, etwa eine Active Directory-Domain oder eine Open
Directory-Domain.
Wenn Ihre Organisation beispielsweise einen zuvor vorhandenen Active DirectoryServer verwendet, der Windows- und Mac OS X-Client-Computer unterstützt, können
Sie einen Mac OS X-Open Directory-Server hinzufügen, um eine bessere Unterstützung
für Ihre Mac-Benutzer zu erzielen. Die zwei Server können sich in demselben Netzwerk
befinden und redundante Verzeichnis-Domains für Windows- und Mac OS X-Clients
bereitstellen. Sie können Mac OS X Server auch für die Verwaltung einer Domain-übergreifenden Identifizierung verwenden, wenn ein Kerberos-Realm vorhanden ist.
Wenn Sie Ihren Mac OS X-Server mit der Arbeitsgruppenkonfiguration konfigurieren, können Sie ihn Ihrer bereits vorhandenen Verzeichnis-Domain leicht hinzufügen. Mit der Arbeitsgruppenkonfiguration von Mac OS X können Sie Benutzer aus
Ihrer bereits vorhandenen Verzeichnis-Domain ganz einfach auf Ihren Arbeitsgruppenserver importieren. 70 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Weitere Informationen zu importierten Benutzern und Arbeitsgruppen bzw. zur
Standardkonfiguration von Mac OS X-Servern finden Sie in den Handbüchern
Einführung und Benutzerverwaltung.
 Open Directory-Master-Server mit Repliken. Sie können auch einen Mac OS X-Open
Directory-Master-Server mit Repliken erstellen. Die Replikserver haben eine Kopie der
Verzeichnis-Domain des Open Directory-Masters für Lastverteilung und Redundanz.
 Beispielsweise kann Ihre Organisation einen Open Directory-Master an Ihrem Hauptsitz eingerichtet haben und Repliken dieses Servers an allen entfernten Standorten
platzieren. Auf diese Weise verhindern Sie, dass es bei Benutzern an entfernten Standorten zu Verzögerungen bei der Anmeldung kommt.
 Kaskadierende Replikation. Sie können auch die kaskadierende Replikation verwenden, bei der Repliken eines Open Directory-Masters über Repliken verfügen. Wenn
eine Replik ein direktes Mitglied des Open Directory-Masters ist und über Repliken
verfügt, wird sie als Relais bezeichnet.
Wenn Ihre Organisation beispielsweise 32 Repliken einsetzt und Sie eine weitere
Replik hinzufügen müssen, können Sie Ihre Netzwerktopologie neu anordnen und
Ihre Repliken in Relais umwandeln, indem Sie einer Replik (bzw. einem Relais) Repliken hinzufügen.
Die kaskadierende Replikation führt zu einer Lastverteilung für den Open DirectoryMaster, indem sie die Anzahl der direkt zu verwaltenden Repliken minimiert. Abschätzen der Anforderungen für Verzeichnisse
und Identifizierung
Sie müssen nicht nur berücksichtigen, wie Sie Verzeichnisdaten auf mehrere Domains
verteilen wollen, sondern auch, welche Kapazität eine jede Verzeichnis-Domain besitzt.
Die Größe Ihrer Verzeichnis-Domain hängt von Ihren Netzwerkanforderungen ab.
Ein Faktor ist die Leistung der Datenbank, die die Verzeichnisinformationen speichert.
Die LDAP-Verzeichnis-Domain von Mac OS X Server verwendet die Berkeley DB-Datenbank, die mit bis zu 200.000 Einträgen effizient arbeitet. Ein Server, der einer Verzeichnis-Domain dieser Größe bereitstellt, muss über ausreichend Festplattenspeicher für
alle Einträge verfügen.
Die Anzahl der Verbindungen, die ein Verzeichnisdienst verwalten kann, ist schwieriger
zu ermitteln, weil Verzeichnisdienstverbindungen im Zusammenhang mit den Verbindungen aller Dienste auftreten, die der Server bereitstellt. Bei Mac OS X Server besteht
für einen dedizierten Open Directory-Server eine Obergrenze von 1000 simultanen
Client-Computerverbindungen. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 71 Der Open Directory-Server kann LDAP- und Identifizierungsdienste einer größeren
Anzahl von Client-Computern zur Verfügung stellen, weil nicht alle Computer diese
Dienste zur gleichen Zeit benötigen. Jeder Computer verbindet sich für bis zu zwei
Minuten mit dem LDAP-Verzeichnis, während Verbindungen zum Open DirectoryKennwortserver sogar noch kürzer sind.
Es kann schwierig sein zu bestimmen, welcher Prozentsatz der Computer gleichzeitig
eine Verbindung herstellen wird.
Computer beispielsweise, an denen jeweils ein einziger Benutzer den ganzen Tag an
Grafikdateien arbeitet, benötigen Open Directory-Dienste relativ selten.
Im Gegensatz dazu melden sich an Computern in einem Computertestraum den
ganzen Tag über viele Benutzer an, jeder mit einem anderen Satz Einstellungen für
verwaltete Clients. Diese Computer führen zu einer relativ hohen Auslastung der
Open Directory-Dienste.
Im Allgemeinen können Sie die Open Directory-Nutzung mit Anmeldung und Abmeldung korrelieren. Diese Aktivitäten sind im Allgemeinen in allen Systemen bei den
Verzeichnis- und Identifizierungsdiensten vorherrschend.
Je häufiger sich Benutzer anmelden und abmelden, desto weniger Computer kann
ein Open Directory-Server (oder ein Verzeichnis- und Identifizierungsserver) unterstützen. Sie benötigen eine größere Anzahl von Open Directory-Servern, wenn sich
Benutzer häufig anmelden. Mit einer geringeren Zahl von Open Directory-Servern
können Sie auskommen, wenn die Arbeitssitzungen lange dauern und Anmeldungen selten vorkommen. Festlegen von Servern für gemeinsam genutzte Domains
Wenn Sie mehrere gemeinsam genutzte Domains benötigen, müssen Sie die Server
angeben, auf denen sich die gemeinsam genutzten Domains befinden sollen. Gemeinsam genutzte Domains sind für viele Benutzer von Bedeutung, daher sollten sie sich
auf Mac OS X Server-Computern mit folgenden Merkmalen befinden:
 eingeschränkter physischer Zugriff
 begrenzter Netzwerkzugriff
 Hochverfügbarkeitstechnologien, wie z. B. unterbrechungsfreie Stromversorgung
Wählen Sie Computer aus, die nicht häufig ersetzt werden und über eine ausreichende Kapazität für die Erweiterung von Verzeichnis-Domains verfügen. Sie können eine gemeinsam genutzte Domain zwar nach der Konfiguration bewegen.
Damit sich Benutzer weiterhin anmelden können, kann dies jedoch ein erneutes
Konfigurieren der Suchpfade von Computern erfordern, die eine Verbindung zur
gemeinsam genutzten Domain herstellen. 72 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Replizieren von Open Directory-Diensten
Mac OS X Server unterstützt die Replikation des LDAP-Verzeichnisdiensts, des Open
Directory-Kennwortservers und des Kerberos-KDC.
Das Replizieren Ihrer Verzeichnis- und Identifizierungsdienste ermöglicht
Ihnen Folgendes:
 Bewegen der Verzeichnisinformationen in die Nähe einer größeren Gruppe von
Benutzern in einem geografisch verteilten Netzwerk und damit eine Verbesserung
der Leistung von Verzeichnis- und Identifizierungsdiensten für diese Benutzer.
 Erzielen von Redundanz, damit Störungen der Dienste für den Benutzer möglichst
gering ausfallen, wenn ein Verzeichnissystem ausfällt oder nicht mehr erreichbar ist.
Ein einzelner Server verfügt über eine primäre Kopie der gemeinsam genutzten LDAPVerzeichnis-Domain, des Open Directory-Kennwortservers und des Kerberos-KDCs. Dieser Server wird als Open Directory-Master bezeichnet. Jede Open Directory-Replik stellt
einen separaten Server mit einer Kopie des LDAP-Verzeichnisses, Open Directory-Kennwortservers und Kerberos-KDC des Masters dar.
Ein Open Directory-Server unter Mac OS X kann bis zu 32 Repliken haben. Jede Replik
kann ihrerseits 32 Repliken haben, sodass Sie über 1056 Repliken in einer zweistufigen
Hierarchie verfügen können.
Der Zugriff auf das LDAP-Verzeichnis einer Replik erfolgt im Modus „Nur Lesen“. Änderungen an Benutzereinträgen und weiteren Account-Informationen im LDAP-Verzeichnis können nur auf dem Open Directory-Master vorgenommen werden.
Der Open Directory-Master aktualisiert die zugehörigen Repliken, wenn am LDAP-Verzeichnis Änderungen vorgenommen wurden. Der Master kann Repliken stets aktualisieren, wenn eine Änderung vorgenommen wurde. Alternativ können Sie einen Plan
erstellen, nach dem Aktualisierungen in bestimmten Intervallen vorgenommen werden. Der feste Zeitplan ist die beste Lösung, wenn Repliken über eine langsame Netzwerkverbindung mit dem Master verbunden sind.
Kennwörter und Kennwortrichtlinien können auf jeder Replik geändert werden. Wenn
das Kennwort eines Benutzers oder eine Kennwortrichtlinie auf mehreren Repliken
geändert wurden, wird die zuletzt vorgenommene Änderung beibehalten.
Die korrekte Aktualisierung von Repliken ist darauf angewiesen, dass die Uhren des
Masters und der Repliken synchron sind. Wenn die Repliken und der Master unterschiedliche Uhrzeiten haben, kann es zu Fehlern bei der Aktualisierung kommen. Die Informationen zu Datum, Uhrzeit und Zeitzone müssen auf dem Master und den Repliken korrekt
sein, und der Master und die Repliken müssen denselben Netzwerkzeitdienst verwenden, um ihre Uhren synchron zu halten. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 73 Achten Sie darauf, dass eine langsame Netzwerkverbindung nicht über nur eine Replik
an den jeweiligen Verbindungsenden verfügt. Wird eine Replik durch eine langsame
Netzwerkverbindung von den anderen Repliken getrennt und fällt diese Replik aus, so
erfolgt eine Ausfallumschaltung der Clients der Replik auf eine Replik am anderen Ende
der langsamen Netzwerkverbindung. Infolgedessen verlangsamen sich die zugehörigen
Verzeichnisdienste möglicherweise deutlich.
Wenn in Ihrem Netzwerk Mac OS X Server-Software der Versionen 10.4 und 10.5 verwendet wird, kann die eine Version nicht als Replik eines Masters der anderen Version
eingesetzt werden. Ein Open Directory-Master der Version 10.5 kann keine Replik für
Version 10.4 erzeugen. Ebenso erzeugt ein Open Directory-Master der Version 10.4
keine Replik für Version 10.5:
Master von
Mac OS X Server 10.5 Master von
Mac OS X Server 10.4 Replik von Mac OS X Server 10.5 Ja Nein Replik von Mac OS X Server 10.4 Nein Ja Version der Replik Replikgruppen
Eine Replikgruppe ist eine automatische Konfiguration, bei der jeder von Open Directory
verwaltete Dienst (LDAP, Kennwortserver und Kerberos) denselben Replikserver suchen
und verwenden können muss. Auf diese Weise kann sichergestellt werden, dass ClientComputer bei der Verwendung von Open Directory-Diensten denselben Replikserver
auswählen, und eine verlangsamte Anmeldung kann verhindert werden. Kaskadierende Replikation
Unter Mac OS X 10.4 wurde ein Hub/Spoke-Modell (Nabe/Speiche-Modell) für das
Replizieren von Open Directory-Master-Servern verwendet. Dabei musste jeder Open
Directory-Master für jeden Replikserver einen Transaktionseintrag verwalten.
Die folgende Abbildung zeigt das Hub/Spoke-Modell für die Replikation in Mac OS X 10.4.
Replik Replik Open DirectoryMaster
Replik Replik Replik 74 Replik Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Darüber hinaus gab es keine vordefinierte Grenze dafür, wie viele Replikserver ein
Open Directory-Master verwalten konnte.
Müsste ein Open Directory-Master 1.000 Repliken verwalten, könnte es zu Leistungsproblemen kommen, wenn weitere Repliken hinzugefügt würden. Ähnlich erginge
es einem Manager, der alleine für 1.000 Mitarbeiter zuständig ist. Diese Situation zu
beherrschen, wäre ebenso wenig möglich.
Mac OS X Server 10.5 verwendet die kaskadierende Replikation, um die Skalierbarkeit
zu optimieren und Leistungsprobleme beim älteren Hub/Spoke-Replikationsmodell
zu beseitigen. Mithilfe der kaskadierenden Replikation lässt sich die Anzahl der Replikserver begrenzen, die von einem einzelnen Open Directory-Master-Server unterstützt
werden können.
Ein einzelner Open Directory-Master-Server kann bis zu 32 Repliken verwenden, die
ihrerseits jeweils über bis zu 32 Repliken verfügen können, sodass Ihnen 1056 Repliken
für einen einzelnen Open Directory-Master-Server zur Verfügung stehen können.
So entsteht eine zweistufige Hierarchie von Replikservern. Die erste Stufe der Repliken,
bei denen es sich um direkte Mitglieder des Open Directory-Masters handelt, werden
als Relais bezeichnet, wenn sie ihrerseits über Repliken verfügen, weil sie wie eine
Relais-Station Daten an die zweite Stufe der Repliken übergeben.
Darüber hinaus braucht ein einzelner Open Directory-Master-Server bei einer kaskadierenden Replikation nicht pro Replikserver einen Transaktionseintrag zu verwalten. Der
Master-Server verwaltet maximal nur 32 Einträge für Repliktransaktionen und trägt so
zur Optimierung der Leistung bei.
Die folgende Abbildung veranschaulicht die zweistufige Hierarchie des kaskadierenden Replikationsmodells. Open DirectoryMaster Relais
(Replik) Replik Replik Relais
(Replik) Replik Replik Relais
(Replik) Replik Replik Relais
(Replik) Replik Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Replik 75 Planen der Aktualisierung mehrerer Open Directory-Repliken
Wenn Ihr Open Directory-Master mehr als 32 Repliken verwaltet, muss Ihre Organisation
auf eine kaskadierende Replikation migriert werden. Das kaskadierende Replikationsmodell optimiert die Leistung Ihres Open Directory-Servers.
Bei Ihrer Migrationsplanung müssen Sie die Standorte Ihrer Replikserver und Ihre Netzwerktopologie berücksichtigen, um die beste hierarchische Struktur für die Neuorganisation Ihrer Repliken zu ermitteln.
Beispielsweise wäre es nicht wünschenswert, dass ein Open Directory-Master an der
Westküste der USA auf eine Replik an der Ostküste repliziert.
Hinweis: Wenn Ihr Open Directory-Master weniger als 32 Repliken hat, ist keine Migration erforderlich. Lastenverteilung in kleinen, mittleren und großen Umgebungen
Verwenden Sie keine Software für die Dienst-Lastenverteilung von Drittanbietern mit
Open Directory-Servern.
Software für die Lastverteilung kann zu unvorhergesehenen Problemen bei Open
Directory-Computern führen. Sie kann die automatische Lastverteilung und das Verhalten der Ausfallumschaltung für Open Directory in Mac OS X und Mac OS X Server
beeinträchtigen.
Mac OS X-Computer versuchen, sich mit dem nächstgelegenen verfügbaren Open
Directory-Server zu verbinden, unabhängig davon, ob es sich um einen Master oder
eine Replik handelt. Der nächstgelegene Open Directory-Master eines Computers bzw.
die nächstgelegene Replik ist der Master/die Replik mit der schnellsten Antwort auf
die Anfrage des Computers nach einer Open Directory-Verbindung. Replikation in einer Umgebung mit mehreren Gebäuden
Bei einem Netzwerk, das sich über mehrere Gebäude erstreckt, sind die Netzwerkverbindungen zwischen Gebäuden möglicherweise langsamer als innerhalb eines einzelnen Gebäudes. Die Netzwerkverbindungen zwischen den Gebäuden können auch
überlastet sein.
Diese Bedingungen können die Leistung von Computern negativ beeinflussen, die
Open Directory-Dienste von einem Server in einem anderen Gebäude beanspruchen.
Es empfiehlt sich daher möglicherweise, in jedem Gebäude eine Open Directory-Replik
zu konfigurieren.
Je nach Bedarf könnte es sogar sinnvoll sein, eine Open Directory-Replik auf jedem
Stockwerk eines mehrstöckigen Gebäudes einzurichten. Jede Replik bietet effiziente
Verzeichnis- und Identifizierungsdienste für Client-Computer in der unmittelbaren
Umgebung. So ist es nicht erforderlich, dass Computer über die langsame, stark ausgelastete Netzwerkverbindung zwischen Gebäuden Verbindungen zu einem Open
Directory-Server herstellen. 76 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Eine größere Anzahl von Repliken hat einen Nachteil. Repliken kommunizieren über
das Netzwerk miteinander und mit dem Master. Diese zusätzliche Netzwerkkommunikation nimmt mit jeder weiteren Replik zu. Durch das Hinzufügen zu vieler Repliken
erhöht sich der Netzwerkdatenverkehr zwischen Gebäuden durch Replikationsaktualisierungen in größerem Umfang als bei der Open Directory-Client-Kommunikation
eingespart wird.
Für die Entscheidung, wie viele Repliken implementiert werden sollen, müssen Sie
berücksichtigen, wie stark die Computer Open Directory-Dienste in Anspruch nehmen werden. Verwenden die Computer die Open Directory-Dienste relativ selten
und sind Ihre Gebäude über recht schnelle Netzwerkverbindungen (z. B. Ethernet
mit 100 MBit/Sek.) miteinander verbunden, benötigen Sie vermutlich nicht in
jedem Gebäude eine Replik.
Sie können die zusätzliche Kommunikation zwischen Open Directory-Repliken und
Master reduzieren, indem Sie planen, wie oft der Open Directory-Master die Repliken
aktualisiert. Die Repliken müssen unter Umständen nicht jedes Mal aktualisiert werden, wenn eine Änderung auf dem Master erfolgt. Sie können Replikaktualisierungen
mit einer geringeren Häufigkeit planen, um die Netzwerkleistung zu optimieren. Verwenden eines Open Directory-Masters, einer Open Directory-Replik
oder eines Open Directory-Relais mit NAT
Wenn Ihr Netzwerk einen Open Directory-Server auf der Seite des privaten Netzwerks
eines NAT-Routers (Network Address Translation) bzw. eines NAT-Gateways hat (dies gilt
auch für den NAT-Router von Mac OS X Server), können nur Computer auf der privaten
Seite des Netzwerks des NAT-Routers eine Verbindung zur LDAP-Verzeichnis-Domain
des Open Directory-Servers herstellen.
Computer auf der Seite des öffentlichen Netzwerks des NAT-Routers können keine
Verbindung zur LDAP-Verzeichnis-Domain eines Open Directory-Masters bzw. einer
Replik auf der Seite des privaten Netzwerks herstellen.
Wenn sich ein Open Directory-Server auf der öffentlichen Seite des Netzwerks eines
NAT-Routers befindet, können Computer auf der privaten Seite und der öffentliche
Seite des Netzwerks dieses NAT-Routers eine Verbindung zum LDAP-Verzeichnis des
Open Directory-Servers herstellen.
Wenn Ihr Netzwerk mobile Clients unterstützt, wie z. B. MacBooks, die zwischen dem
privaten LAN Ihres NAT-Gateways und dem Internet wechseln können, müssen Sie
den VPN-Dienst für mobile Benutzer konfigurieren, damit die Benutzer mithilfe eines
VPN eine Verbindung zum privaten Netzwerk und zur Open Directory-Domain herstellen können. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 77 Kompatibilität von Open Directory-Master und -Replik
Der Open Directory-Master und die zugehörigen Repliken müssen dieselbe Version
von Mac OS X Server verwenden. Zusätzlich gilt Folgendes:
 Ein Open Directory-Master mit Mac OS X Server 10.5 erzeugt keine Repliken für
Mac OS X Server 10.4.
 Mac OS X Server 10.5 kann keine Replik eines Open Directory-Masters mit
Mac OS X Server 10.4 sein.
 Ein Open Directory-Master mit Mac OS X Server 10.5 kann eine Replik für eine Open
Directory-Replik mit Mac OS X Server 10.5 erzeugen.
Wenn Sie einen Open Directory-Master und Open Directory-Repliken mit Mac OS X
Server 10.4 verwenden, müssen Sie sie gleichzeitig auf die Version 10.5 aktualisieren.
Aktualisieren Sie zuerst den Master und anschließend die Repliken. Während der
Aktualisierung steht den Clients des Masters und der Repliken weiterhin der Verzeichnisdienst und der Identifizierungsdienst zur Verfügung.
Während der Aktualisierung des Masters werden die Clients per Ausfallumschaltung
auf die nächstgelegene Replik geleitet. Wenn Sie Repliken nacheinander aktualisieren,
wird für die Clients eine Ausfallumschaltung zum aktualisierten Master bereitgestellt.
Beim Aktualisieren eines Open Directory-Masters von Mac OS X Server 10.4 auf die Version 10.5 werden die Verbindungen zu den vorhandenen Repliken getrennt. Nach der
Aktualisierung aller Open Directory-Repliken auf Mac OS X Server 10.5 liegen jeweils
eigenständige Verzeichnisdienste vor, die Sie erneut in Repliken umwandeln müssen.
Weitere Informationen zum Aktualisieren auf Mac OS X Server 10.5 finden Sie im
Handbuch Aktualisieren und Migrieren. Integrieren von Active Directory, einem Open DirectoryMaster und Replikdiensten in einem gemeinsamen System
Bei der Einführung von Open Directory-Servern in einer Active Directory-Umgebung
sind bestimmte Punkte zu berücksichtigen. Werden keine geeigneten Vorkehrungen
getroffen, kommt es zu Mischeffekten bei der Bedienung der Clients und der Funktionalität der Server.
Vermeiden Sie es außerdem, die identifizierte Verzeichnisbindung und Active Directory
auf demselben Client oder Server zu integrieren. Sowohl die identifizierte Verzeichnisbindung als auch Active Directory nutzen Kerberos. Ihre gemeinsame Verwendung
führt zu einem unerwarteten Verhalten oder zu einem Ausfall der Identifizierungsdienste, wenn nicht die nachfolgend beschriebenen Maßnahmen ergriffen werden. 78 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Beim Integrieren von Open Directory und Active Directory können Sie für Gesamtauthentifizierungszwecke die Kerberos-Anmeldedaten von nur einem System verwenden. Es ist nicht möglich, dass Benutzer in Active Directory und Open Directory
vorhanden sind und beide Kerberos-Anmeldedaten für die Gesamtauthentifizierung
auf einem Server verwenden, der für einen bestimmten Server kerberisiert ist. Sie können sich also nicht an einem Active Directory-Account anmelden und erwarten, die
Gesamtauthentifizierung für einen Server zu verwenden, der zum Kerberos-Realm von
Open Directory gehört.
Kerberos wird in Active Directory- und in Open Directory-Umgebungen verwendet.
Wenn Kerberos-Tickets verwendet werden sollen, geht Kerberos für die Bestimmung
des Realms eines Servers von bestimmten Voraussetzungen aus. Im folgenden Beispiel
werden ein Active Directory-Kerberos-Realm und ein Kerberos-Realm eines Open
Directory-Masters integriert:
 Active Directory-Domain = company.com
 Active Directory-Kerberos-Realm = COMPANY.COM
 Open Directory-Server-Master = server1.company.com
 Open Directory-Kerberos-Realm = SERVER1.COMPANY.COM
Bei dem Versuch, einen TGS (Ticket-Granting Server, Server für die Ticketverteilung)
für die Verwendung von LDAP für server1.company.com zu erhalten, fordert Kerberos
„ldap/server1. “ an, es sei denn, „domain_realm“ liegt in
der Konfiguration vor. Bei „domain_realm“ für Open Directory wird davon ausgegangen, dass die gesamte Domain „.company.com“ zum Realm „SERVER1.DEMOTREE.COM“
gehört. Auf diese Weise würde jede Konnektivität mit der Active Directory-Domain
„company.com“ unterbunden.
Wenn Sie die identifizierte Verzeichnisbindung und Active Directory integrieren wollen,
müssen sich Ihre Active Directory-Domain und Ihre Open Directory-Realms und -Server
in unterschiedlichen Hierarchien befinden. Beispiel:
 Active Directory-Domain = company.com
 Active Directory-Kerberos-Realm = COMPANY.COM
 Open Directory-Server-Master = server1.od.company.com
 Open Directory-Server-Realm = „OD.COMPANY.COM“
Oder:
Â
Â
Â
 Active Directory-Domain = ads.company.com
Active Directory-Kerberos-Realm = ADS.COMPANY.COM
Open Directory-Server-Master = server1.od.company.com
Open Directory-Kerberos-Realm = OD.COMPANY.COM Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 79 In beiden Beispielen muss eine neue DNS-Domain-Zone erstellt werden. Für die Server
müssen zudem DNS-Einträge für die Vorwärts- und die Rückauflösung vorhanden sein,
damit eine IP-Adresse den erwarteten Namen erhält, wenn sie für den Open DirectoryServer verwendet wird. Wenn die IP-Adresse „server1.od.company.com“ beispielsweise der
Nummer 10.1.1.1 entspricht, sollte die Auflösung von 10.1.1.1 mit „server1.od.company.com“
übereinstimmen und nicht mit „server1.company.com“. Integrieren mit vorhandenen Verzeichnis-Domains
Verfügt Ihr Netzwerk bereits über eine Verzeichnis-Domain, können Sie Ihrem Netzwerk einen weiteren Verzeichnis-Domain-Server hinzufügen, der die Datenbank Ihrer
vorhandenen Verzeichnis-Domain verwendet, um Benutzer für den Zugriff zu identifizieren. Für diese Konfiguration, die als Domain-übergreifende Identifizierung bezeichnet wird, müssen Ihre Server Kerberos unterstützen.
Wenn Sie die Domain-übergreifende Identifizierung verwenden, ist ein Server ein
Pseudo-Master-Server und der andere ein untergeordneter Server. Alle Benutzer identifizieren sich beim Pseudo-Master-Server mithilfe einer Identifizierungsmethode, damit
der jeweilige Benutzer ein Kerberos-Ticket erhält, wenn er sich identifiziert. Versucht der
Benutzer auf einen Dienst zuzugreifen, der vom untergeordneten Server bereitgestellt
wird, akzeptiert und prüft der untergeordnete Server das Kerberos-Ticket des Benutzers,
das vom Pseudo-Master für die Identifizierung des Benutzer ausgestellt wurde.
Das Kerberos-Ticket verfügt über PAC-Informationen (Privilege Attribute Certificate),
in denen Benutzername, Benutzer-IDs (UIDs) und Gruppenmitgliedschafts-IDs (GIDs)
enthalten sind. Anhand dieser Informationen prüft der untergeordnete Server, ob der
Benutzer zur Verwendung des entsprechenden Diensts berechtigt ist. Dazu vergleicht
er die UID bzw. GID mit der Zugriffssteuerungsliste (ACL) des Diensts, auf den der
Benutzer zugreifen möchte.
Mit der Domain-übergreifenden Identifizierung ist es nicht erforderlich, abweichende
Benutzernamen und Kennwörter für Ihren untergeordneten Verzeichnis-Domain-Server
zu erstellen. Sie können zusammen mit den PAC-Informationen dieselben Benutzernamen und Kennwörter von der Verzeichnis-Domain des Unternehmens verwenden, um
Benutzer für den Zugriff zu identifizieren.
Die Domain-übergreifende Identifizierung ist die ideale Konfiguration, wenn Sie
nicht berechtigt sind, Gruppen in der Verzeichnis-Domain des Unternehmens direkt
zu bearbeiten. 80 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Sie können die Domain-übergreifende Identifizierung zwischen einem Active DirectoryServer und einem Open Directory-Server von Mac OS X 10.5 oder zwischen zwei Open
Directory-Servern von Mac OS X 10.5 verwenden. Die Domain-übergreifende Identifizierung funktioniert nicht auf Servern mit Mac OS X 10.4. Für die Verwendung von PACInformationen muss der Pseudo-Master-Server über einen Kerberos-Realm verfügen, zu
dem der untergeordnete Server eine Verbindung herstellen kann.
Damit Ihr Server für ein Verzeichnissystem zu einem untergeordneten Server wird,
müssen Sie ihn mithilfe des Programms „Verzeichnisdienste“ mit einem Active Directoryoder Open Directory-Server verbinden, auf dem Kerberos konfiguriert und aktiv ist. Dann
müssen Sie Ihren Open Directory-Server mithilfe des Programms „Server-Admin“ in einen
Open Directory-Master umwandeln. Der untergeordnete Server bestimmt automatisch,
dass er einem Active Directory- bzw. einem Open Directory-Server untergeordnet ist und
konfiguriert sich selbst entsprechend.
Sie können auch eine Replik Ihres untergeordneten Open Directory-Servers haben.
Zum Erstellen einer Replik eines untergeordneten Verzeichnisservers verbinden Sie
Ihren Server mithilfe des Programms „Verzeichnisdienste“ mit dem Pseudo-Master
und dem untergeordneten Server. Anschließend konfigurieren Sie den Server als
Replik des untergeordneten Servers.
Wird der Server nicht mit dem Pseudo-Master und dem untergeordneten Server verbunden, wird er blockiert oder das Konfigurieren als Replik schlägt fehlt. Integrieren ohne Schemaänderungen
Mac OS X und Mac OS X Server können mit den meisten LDAP-basierten Verzeichnissen integriert werden, ohne Änderungen am Schema des Verzeichnisservers zu erfordern. Möglicherweise werden jedoch bestimmte Eintragstypen vom Verzeichnisschema
Ihres Server nicht erkannt oder verwaltet.
Wenn Sie Mac OS X-Computer in Ihren Verzeichnisserver integrieren, empfiehlt es sich,
dem Verzeichnisschema einen neuen Eintragstyp oder eine neue Objektklasse hinzuzufügen, um Ihre Mac OS X-Client-Computer besser zu verwalten und zu unterstützen.
Beispielsweise gibt es den Eintragstyp „Bild“ standardmäßig nicht in Ihrem Verzeichnisschema für Ihre Mac OS X-Benutzer. Sie können ihn jedoch Ihrem Verzeichnisschema hinzufügen, damit „Bild“-Einträge in der Verzeichnisdatenbank gespeichert werden können.
Wenn Sie Ihrem Verzeichnisschema Einträge oder Attribute hinzufügen wollen,
wenden Sie sich an Ihren Verzeichnis-Domain-Administrator, um entsprechende
Anleitungen zu erhalten. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 81 Integrieren mit Schemaänderungen
Wenn Sie Ihrer vorhandenen Verzeichnis-Domain Mac OS X-Computer hinzufügen, können Sie an Ihrem Verzeichnis-Domain-Server Änderungen vornehmen, um Mac OS XClient-Computer besser zu unterstützen.
Wenn Sie Ihrem Schema einen Eintragstyp oder ein Attribut hinzufügen, müssen Sie
untersuchen, ob bereits ein Eintragstyp oder ein Attribut vorhanden ist, das dem vorhandenen Verzeichnisschema leicht zugeordnet werden kann. Wenn Sie nicht über
einen ähnlichen Eintragstyp bzw. ein ähnliches Attribut verfügen, der bzw. das eine
solche Zuordnung erlaubt, können Sie den Eintragstyp bzw. das Attribut Ihrem
Schema hinzufügen. Dies wird als Erweitern des Schemas bezeichnet.
Beim Erweitern Ihres Schemas müssen Sie möglicherweise die Standard-ACL
(Access Control List – Zugriffssteuerungsliste) bestimmter Attribute ändern, damit
Computer-Accounts die Benutzereigenschaften lesen können. Beispielsweise können Sie Mac OS X für den Zugriff auf allgemeine Benutzer-Account-Informationen
in einer Active Directory-Domain eines Windows 2000-, eines Windows 2003- oder
eines neueren Servers konfigurieren.
Weitere Informationen zum Erweitern Ihres Schemas finden Sie im Anhang
„Mac OS X-Verzeichnisdaten“. Vermeiden von Kerberos-Konflikten bei Vorliegen
mehrerer Verzeichnisse
Wenn Sie einen Open Directory-Master in einem Netzwerk mit Active Directory-Domain
konfigurieren, verfügt Ihr Netzwerk über zwei Kerberos-Realms: einen Open DirectoryKerberos-Realm und einen Active Directory-Kerberos-Realm.
Für alle praktischen Zwecke können andere Server im Netzwerk nur einen einzigen
Kerberos-Realm verwenden. Wenn Sie einen Dateiserver, einen Mail-Server oder einen
anderen Server konfigurieren, der die Kerberos-Identifizierung verwenden kann,
müssen Sie einen einzelnen Kerberos-Realm auswählen.
Mac OS X Server muss demselben Kerberos-Realm angehören wie die Client-Benutzer.
Der Realm hat nur einen einzigen Kerberos-Berechtigungsserver, der für die gesamte
Kerberos-Identifizierung im Realm zuständig ist. Der Kerberos-Server kann nur Clients
und Server in seinem Realm identifizieren. Clients und Server, die zu einem anderen
Realm gehören, können nicht identifiziert werden.
Nur Benutzer-Accounts im ausgewählten Kerberos-Realm haben die Fähigkeit zur
Gesamtauthentifizierung (Single Sign-On, SSO). Benutzer-Accounts im anderen Realm
können sich weiterhin identifizieren, jedoch nicht per Gesamtauthentifizierung. 82 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Wenn Sie einen Server für den Zugriff auf mehrere Verzeichnissysteme mit jeweils einem
Kerberos-Realm konfigurieren, müssen Sie die Benutzer-Accounts, die die kerberisierten
Dienste verwenden sollen, sorgfältig planen. Sie müssen die Methode für den Zugriff auf
zwei Verzeichnisdienste kennen. Sie müssen den Server mit dem Realm verbinden, dessen begleitende Verzeichnis-Domain die Accounts enthält, die Kerberos und die Gesamtauthentifizierung verwenden müssen.
So empfiehlt es sich beispielsweise, den Zugriff auf einen Active Directory-Realm für dessen Benutzereinträge und für ein Open Directory-LDAP-Verzeichnis für die Mac OS X-Einträge und -Attribute zu konfigurieren, die sich nicht in Active Directory befinden, etwa
Gruppen- und Computereinträge. Weitere Server könnten nun eine Verbindung zum
Active Directory-Kerberos-Realm oder zum Open Directory-Kerberos-Realm herstellen.
In diesem Fall empfiehlt sich das Hinzufügen zum Active Directory-KerberosRealm, sodass die Active Directory-Benutzer-Accounts über eine Gesamtauthentifizierung verfügen.
Wenn Sie auch über Benutzer-Accounts im LDAP-Verzeichnis des Open DirectoryServers verfügen, können Benutzer sich dort weiterhin identifizieren. Die Open
Directory-Benutzer-Accounts verwenden Kerberos jedoch nicht und verfügen nicht
über die Gesamtauthentifizierung. Sie verwenden Identifizierungsmethoden des
Open Directory-Kennwortservers.
Sie können alle Mac-Benutzer in der Open Directory-Domain und alle Windows-Benutzer in der Active Directory-Domain verwalten. Alle Benutzer können sich dann identifizieren, aber nur eine der beiden Gruppen kann Kerberos verwenden.
Wichtig: Konfigurieren Sie einen Open Directory-Master bzw. eine Open DirectoryReplik nicht für den Zugriff auf eine Active Directory-Domain (oder eine andere Verzeichnis-Domain mit einem Kerberos-Realm). Sonst versuchen der Open DirectoryKerberos-Realm und der Active Directory-Kerberos-Realm dieselben Konfigurationsdateien auf dem Open Directory-Server zu verwenden, was zu Störungen bei der
Open Directory-Kerberos-Identifizierung führt.
Vermeiden Sie Konflikte mit einer Kerberos-Konfigurationsdatei und verwenden Sie
einen Open Directory-Server nicht als Client-Computer für die Verwaltung von Benutzern in einer Verzeichnis-Domain eines anderen Kerberos-Servers, etwa einer Active
Directory-Domain. Verwenden Sie stattdessen einen Administratorcomputer (einen
Mac OS X-Computer mit installierten Programmen für die Serververwaltung), der für
den Zugriff auf die zugehörigen Verzeichnis-Domains konfiguriert ist. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 83 Wenn Sie Benutzer in der Verzeichnis-Domain eines anderen Servers mit einem Open
Directory-Server verwalten müssen, vergewissern Sie sich, dass die andere VerzeichnisDomain nicht Teil des Suchpfads für die Identifizierung des Open Directory-Servers ist.
Sie können Konflikte mit der Kerberos-Konfigurationsdatei weiterhin verhindern, indem
Sie keinen Open Directory-Server verwenden, um Dienste bereitzustellen, die auf eine
andere Verzeichnis-Domain des Kerberos-Servers zugreifen.
Wenn Sie beispielsweise den AFP-Dateidienst für den Zugriff auf Open Directory und
Active Directory konfigurieren, empfiehlt es sich, keinen Open Directory-Server für die
Bereitstellung des Dateidiensts zu verwenden. Verwenden Sie einen anderen Server
und fügen Sie diesen zum Kerberos-Realm eines der Verzeichnisdienste hinzu.
Theoretisch können Server oder Clients zwei Kerberos-Realms angehören, beispielsweise einem Open Directory-Realm und einem Active Directory-Realm. Die KerberosIdentifizierung mit mehreren Realms erfordert eine komplexe Konfiguration. Dazu
gehört das Einrichten der Kerberos-Server und -Clients für die Realm-übergreifende
Identifizierung sowie das Ändern der kerberisierten Dienstsoftware, damit sie zu mehreren Realms gehören kann. Optimieren von Leistung und Redundanz
Sie können die Leistung der Open Directory-Dienste optimieren, indem Sie dem Server
Speicher hinzufügen und ihn weniger Dienste bereitstellen lassen. Diese Strategie gilt
auch für alle anderen Dienste von Mac OS X Server. Je konsequenter Sie einen einzelnen
Server gezielt für eine bestimmte Aufgabe einsetzen, desto besser ist seine Leistung.
Über diese allgemeine Strategie hinaus können Sie die Leistung von Open DirectoryServern optimieren, indem Sie der LDAP-Datenbank eine eigene Festplatte und den
Open Directory-Protokollen eine andere Festplatte zuweisen.
Wenn Ihr Netzwerk Repliken eines Open Directory-Masters enthält, können Sie die Netzwerkleistung optimieren, indem Sie die Aktualisierung von Repliken mit einer geringeren
Häufigkeit planen. Seltenere Aktualisierungen bedeuten, dass die Repliken über weniger
aktuelle Verzeichnisdaten verfügen. Sie müssen also eine höhere Netzwerkleistung und
eine geringere Genauigkeit Ihrer Repliken gegeneinander abwägen.
Wenn Sie eine größere Redundanz der Open Directory-Dienste wünschen, müssen Sie
zusätzliche Server als Open Directory-Repliken konfigurieren oder Server mit RAIDSystemen verwenden. 84 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Open Directory-Sicherheit
Mit Mac OS X Server stellt ein Server mit einer gemeinsam genutzten LDAP-Verzeichnis-Domain auch die Open Directory-Identifizierung bereit. Es ist wichtig, die von Open
Directory gespeicherten Identifizierungsdaten zu schützen. Zu diesen Identifizierungsdaten gehören die Datenbank des Open Directory-Kennwortservers und die KerberosDatenbank, die ebenfalls geschützt werden müssen. Stellen Sie daher durch Befolgen
folgender Richtlinien sicher, dass ein Open Directory-Master und alle Open DirectoryRepliken sicher sind:
 Die Sicherheit eines Serverstandorts, der ein Open Directory-Master oder eine Replik
ist, ist vorrangig. Halten Sie die zum Server führende Tür verschlossen und melden
Sie ihn immer ab.
 Schützen Sie die Medien, die Sie zum Sichern einer Open Directory-KennwortserverDatenbank und einer Kerberos-Datenbank verwenden. Durch das Abschließen des
Raums mit den Open Directory-Server sind Backup-Bänder, die Sie auf Ihrem Tisch
liegen lassen, noch nicht geschützt.
 Verwenden Sie keinen Server, der ein Open Directory-Master oder eine Open
Directory-Replik ist, zum Bereitstellen anderer Dienste. Wenn Server nicht dediziert
als Open Directory-Master oder als Open Directory-Repliken eingesetzt werden
können, minimieren Sie die Anzahl der von den Servern bereitgestellten Dienste.
Einer der anderen Dienste könnte eine Sicherheitslücke aufweisen, die unbefugten Benutzern Zugriff auf die Kerberos-Datenbank oder die Datenbank des Open
Directory-Kennwortservers gewährt. Server für das gezielte Bereitstellen von Open
Directory-Diensten zu konfigurieren, ist ein optimales Vorgehen, das jedoch nicht
zwingend erforderlich ist.
 Konfigurieren Sie SACLs (Service Access Control Lists) für das Anmeldefenster
und SSH (Secure Shell), um zu begrenzen, welche Benutzer sich an einem Open
Directory-Master oder eine Open Directory-Replik anmelden können.
 Vermeiden Sie es, ein RAID-Volume, das mit anderen Computern gemeinsam genutzt
wird, als Startvolume eines Servers zu verwenden, der als Open Directory-Master oder
Replik verwendet wird. Eine Sicherheitslücke auf einem der anderen Computer könnte
die Sicherheit der Open Directory-Informationen zur Identifizierung gefährden.
 Konfigurieren Sie den IP-Firewall-Dienst dafür, alle Ports zu blockieren, mit Ausnahme
der Ports, die für die folgenden Verzeichnis-, Identifizierungs- und Verwaltungsprotokolle verwendet werden:
 Der Open Directory-Kennwortserver verwendet die Ports 106 und 3659.
 Das Kerberos-KDC verwendet den TCP/UDP-Port 88, und der TCP/UDP-Port 749
wird für die Kerberos-Verwaltung verwendet.
 Das gemeinsam genutzte LDAP-Verzeichnis verwendet den TCP-Port 389 für eine
gewöhnliche Verbindung und den TCP-Port 636 für eine SSL-Verbindung. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 85 Â Halten Sie beim Erstellen einer Open Directory-Replik den Port 22 zwischen dem
Master und der zu erstellenden Replik offen. Dieser Port wird für den SSH-Datenverkehr (Secure Shell – sichere Shell) verwendet, mit dem eine vollständige, aktuelle
Kopie der LDAP-Datenbank übertragen wird. Nach der ursprünglichen Replikkonfiguration wird nur der LDAP-Port (389 oder 636) für die Replikation verwendet.
 Der Arbeitsgruppenmanager verwendet die TCP-Ports 311 und 625.
 Das Programm „Server-Admin“ verwendet den TCP-Port 311.
 SMB verwendet die TCP/UDP-Ports 137, 138, 139 und 445.
 Rüsten Sie den Open Directory-Master-Computer mit einer unterbrechungsfreien
Stromversorgung (USV) aus.
Zusammengefasst ist das folgende Vorgehen das sicherste und beste:
 Definieren Sie jeden Server, der ein Open Directory-Master oder eine Open DirectoryReplik ist, für die ausschließliche Bereitstellung von Verzeichnisdiensten.
 Konfigurieren Sie eine Firewall für diese Server, um nur Folgendes bereitzustellen:
Protokolle für den Verzeichniszugriff, die Identifizierung und die Verwaltung (LDAP,
Kennwortserver, Kerberos, Arbeitsgruppenmanager und Server-Manager).
 Sorgen Sie dafür, dass jeder Open Directory-Server und alle Sicherungsmedien,
die für ihn verwendet werden, sicher an einem abschließbaren Standort untergebracht sind.
Die Replikation von Verzeichnis- und Identifizierungsdaten über das Netzwerk stellt ein
minimales Sicherheitsrisiko dar. Kennwortdaten werden mithilfe zufälliger Schlüssel, die
während jeder Replikationssitzung ausgehandelt werden, sicher repliziert. Der Identifizierungsteil des Replikationsdatenverkehrs – der Open Directory-Kennwortserver und
das Kerberos-KDC – wird vollständig verschlüsselt.
Für zusätzliche Sicherheit können Sie Netzwerkverbindungen zwischen Open DirectoryServern dafür konfigurieren, Netzwerk-Switches statt Hubs zu verwenden. Auf diese
Weise wird der Datenverkehr der Identifizierungsreplikation auf vertrauenswürdige Netzwerksegmente beschränkt. SACLs (Service Access Control Lists)
Mac OS X verwendet SACLs, um Benutzer für den Zugriff auf einen Dienst zu autorisieren. SACLs bestehen aus ACEs (Access Control Entries – Zugriffssteuerungseinträge), mit
denen die Zugriffsrechte eines Benutzers für einen Dienst ermittelt werden.
Mithilfe von SACLs können Sie Benutzern den Zugriff auf einen Open Directory-Master
oder eine Open Directory-Replik gewähren oder verweigern, indem Sie SACLs für das
Anmeldefenster und für SSH festlegen. So wird der Zugriff auf den Dienst beschränkt.
Mithilfe von SACLs können Sie auch den Administratorzugriff auf Open Directory festlegen. Auf diese Weise wird der Zugriff auf den Dienst nicht beschränkt. Stattdessen wird
angegeben, welche Benutzer den Dienst verwalten oder überwachen können. Weitere
Informationen zum Festlegen von Administrator-SACLs finden Sie im Abschnitt „Konfigurieren der Zugriffssteuerung für Dienste“ auf Seite 207.
86 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory SACLs ermöglichen eine bessere Steuerung darüber, welche Administratoren Zugriff
zum Überwachen und Verwalten des Diensts erhalten. Nur die in einer SACL aufgelisteten Benutzer und Gruppen können auf den jeweiligen Dienst zugreifen. Wenn Sie beispielsweise Benutzern oder Gruppen Administratorzugriff für den Open Directory-Dienst
auf Ihrem Server gewähren möchten, fügen Sie sie der Open Directory-SACL als Zugriffssteuerungseintrag hinzu. Gestufte Verwaltung
Mac OS X Server verwendet keine Verwaltungseinheiten für Benutzer- oder Gruppenzugriffsrechte in Verzeichnisdiensten. Zugriffsrechte sind von der Art der Verwaltung
Ihrer Verzeichnisdatenbank unabhängig. Mac OS X Server 10.5 verwendet eine gestufte
Verwaltung für eine größere Detailgenauigkeit bei den Lese- und Schreibrechten von
Benutzern für Einträge in der Verzeichnisdatenbank.
Benutzerrechte werden gesteuert, indem Benutzer oder Gruppen in einer ACL verwaltet und Benutzern Lese- und Schreibrechte für Einträge erteilt werden. Die Einträge von
Benutzern oder Gruppen in ACLs werden als ACEs (Zugriffssteuerungseinträge) bezeichnet. Mithilfe der gestuften Verwaltung können Sie Ihre Benutzer leicht in Gruppen verwalten und die Einträge angeben, die von einer Gruppe verwaltet werden können.
Es empfiehlt sich, bei der Verwendung der gestuften Verwaltung Folgendes zu
berücksichtigen:
 Welche Benutzer zur Gruppe gehören
 Die Zugriffsrechte, die die jeweilige Gruppe erhalten soll
 Die Einträge, die Ihre Gruppe verwalten soll
Sie können Benutzern oder Gruppen die vollständige oder eine begrenzte Steuerung
der Domain-Verwaltung erlauben. Wenn Sie eine begrenzte Verwaltungssteuerung
erlauben, können Sie auswählen, welche Benutzer und Gruppen ein Benutzer bzw.
eine Gruppe verwalten kann. Sie können auch die Art der Steuerung angeben, die der
Benutzer auf diese Benutzer und Gruppen ausüben kann. Das Erteilen der vollständigen Steuerung beispielsweise ermöglicht dem entsprechenden Benutzer eine unbegrenzte Steuerung der Verzeichnis-Domain.
Die Domain-Zugriffsrechte eines Benutzers können Sie nur für LDAPv3-VerzeichnisDomains ändern. Es ist nicht möglich, Zugriffsrechte für einen lokalen VerzeichnisDomain-Account oder für einen Account in einer Nicht-LDAPv3-Verzeichnis-Domain
zu ändern.
Administratoren mit umfassenden und begrenzten Verwaltungsrechten verwenden
das Programm „Arbeitsgruppenmanager“ für die Benutzerverwaltung. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 87 Programme zum Verwalten von Open Directory-Diensten
Die Programme „Server-Admin“, „Verzeichnisdienste“ und „Arbeitsgruppenmanager“
bieten eine grafische Benutzeroberfläche für die Verwaltung von Open DirectoryDiensten in Mac OS X Server. Zusätzlich können Sie Open Directory-Dienste mithilfe
des Programms „Terminal“ auch über die Befehlszeile verwalten.
Alle diese Programme sind in Mac OS X Server enthalten und können auf einem weiteren Computer mit Mac OS X 10.5 (oder neuer) installiert werden, um diesen Computer
als Administratorcomputer zu konfigurieren. Weitere Informationen zum Konfigurieren
eines Administratorcomputers finden Sie im Kapitel zur Serververwaltung im Handbuch Einführung. Programm „Server-Admin“
Das Programm „Server-Admin“ bietet Zugriff auf Werkzeuge für die Konfiguration, Verwaltung und Überwachung von Open Directory-Diensten und anderen Diensten. Sie
können das Programm „Server-Admin“ für folgende Zwecke verwenden:
 Konfigurieren von Mac OS X Server als Open Directory-Master, als Open DirectoryReplik, als mit einem Verzeichnissystem verbundene Replik oder als eigenen Verzeichnisdienst mit nur lokaler Verzeichnis-Domain. Weitere Informationen hierzu
finden Sie in Kapitel 5 „Konfigurieren von Open Directory-Diensten“.
 Konfigurieren weiterer Mac OS X Server-Systeme für die Verwendung des KerberosKDCs eines Open Directory-Masters oder einer Open Directory-Replik. Weitere Informationen hierzu finden Sie in Kapitel 5.
 Zum Konfigurieren von LDAP-Optionen auf einem Open Directory-Master. Weitere
Informationen hierzu finden Sie in Kapitel 5.
 Zum Konfigurieren des DHCP-Servers, sodass er Mac OS X-Computern mit automatischen Suchpfaden eine LDAP-Serveradresse übermittelt. Weitere Informationen hierzu
finden Sie im Kapitel zu DHCP im Handbuch Netzwerkdienste – Administration.
 Zum Konfigurieren von Kennwortrichtlinien, die für alle Benutzer ohne vorrangige
individuelle Kennwortrichtlinien gelten. Weitere Informationen finden Sie in Kapitel 6
„Verwalten der Daten für die Benutzeridentifizierung“. (Zum Konfigurieren einzelner
Kennwortrichtlinien verwenden Sie das Programm „Arbeitsgruppenmanager“. Informationen hierzu finden Sie in Kapitel 6.)
 Zum Überwachen von Open Directory-Diensten. Weitere Informationen hierzu finden
Sie in Kapitel 9 „Pflegen von Open Directory-Diensten“. 88 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory Allgemeine Informationen zur Verwendung des Programms „Server-Admin“ finden Sie
im Kapitel zur Serververwaltung im Handbuch Einführung. In diesem Kapitel werden die
folgenden Punkte erläutert:
 Öffnen des Programms und Anmelden beim Programm „Server-Admin“
 Arbeiten mit Servern
 Verwalten von Diensten
 Steuern des Zugriffs auf Dienste
 Verwenden von SSL für die Fernverwaltung des Servers
 Anpassen der Umgebung des Programms „Server-Admin“
Das Programm „Server-Admin“ befindet sich im Verzeichnis „/Programme/Server“. Verzeichnisdienste
Das Programm „Verzeichnisdienste“ bestimmt, wie ein Mac OS X-Computer Verzeichnisdienste verwendet, Netzwerkdienste erkennt und Verzeichnisdienste für die Identifizierung und für Kontaktinformationen sucht. Das Programm „Verzeichnisdienste“ kann für
folgende Zwecke verwendet werden:
 Konfigurieren des Zugriffs auf LDAP-Verzeichnisse, auf eine Active Directory-Domain
und auf eine NIS-Domain (Network Information Services)
 Konfigurieren der Datenzuordnung für LDAP-Verzeichnisse
 Definieren von Pfaden für die Suche nach mehreren Verzeichnisdiensten für die
Identifizierung und für Kontaktinformationen
 Aktivieren oder Deaktivieren von Verzeichnisdiensttypen und Typen der Netzwerkdiensterkennung
Das Programm „Verzeichnisdienste“ kann zu anderen Servern in Ihrem Netzwerk eine
Verbindung herstellen, damit Sie sie per Fernzugriff konfigurieren können.
Weitere Informationen zur Verwendung des Programms „Verzeichnisdienste“ finden
Sie in Kapitel 7 „Verwalten von Verzeichnis-Clients“.
Das Programm „Verzeichnisdienste“ ist bei jedem Mac OS X-Computer im Verzeichnis
„/Programme/Dienstprogramme“ installiert. Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 89 Arbeitsgruppenmanager
Das Programm „Arbeitsgruppenmanager“ bietet umfassende Verwaltungsfunktionen
für Mac OS X Server-Clients. Sie können den Arbeitsgruppenmanager für folgende
Zwecke verwenden:
 Konfigurieren und Verwalten von Benutzer-Accounts, Gruppen-Accounts und Computergruppen. Weitere Informationen hierzu finden Sie in Kapitel 6 „Verwalten der Daten
für die Benutzeridentifizierung“. Weitere Informationen zu anderen Themen zur Benutzer-, Gruppen- und Computerverwaltung finden Sie im Handbuch Benutzerverwaltung.
 Verwalten von Netzwerkordner für Dateidienste und Benutzerordner. Weitere Informationen hierzu finden Sie in den Kapiteln zu Netzwerkordnern und SMB-Diensten
im Handbuch Dateidienste – Administration und im Kapitel zu Benutzerordnern im
Handbuch Benutzerverwaltung.
 Zum Steuern des Inhalts, der Mac OS X-Benutzern bei Auswahl des Symbols „Netzwerk“
in einer Finder-Seitenleiste angezeigt wird. Weitere Informationen hierzu finden Sie im
Kapitel zur Verwaltung von Netzwerkansichten im Handbuch Benutzerverwaltung.
 Zum Anzeigen von unformatierten Verzeichniseinträgen durch Verwendung der
Detailansicht. Weitere Informationen hierzu finden Sie im Abschnitt „Anzeigen und
Bearbeiten von Verzeichnisdaten“ auf Seite 212.
Allgemeine Informationen zur Verwendung des Programms „Arbeitsgruppenmanager“
finden Sie im Kapitel zur Serververwaltung im Handbuch Einführung. In diesem Kapitel
werden die folgenden Punkte erläutert:
 Öffnen und Identifizieren im Arbeitsgruppenmanager
 Verwalten von Accounts
 Anpassen der Umgebung des Arbeitsgruppenmanagers
Der Arbeitsgruppenmanager wird im Ordner „Programme/Server“ installiert. Befehlszeilenprogramme
Administratoren, die eine Serververwaltung über die Befehlszeile bevorzugen, steht
eine Reihe von Befehlszeilenprogrammen zur Verfügung.
Für die entfernte Serververwaltung senden Sie Befehle in einer SSH-Sitzung (Secure
Shell – sichere Shell).
Befehle können Sie auf Mac OS X-Servern und -Computern mithilfe des Programms
„Terminal“ eingeben, das sich im Verzeichnis „/Programme/Dienstprogramme“ befindet.
Weitere Informationen hierzu finden Sie im Handbuch Command-Line Administration. 90 Kapitel 4 Programme zur Planung und Verwaltung von Open Directory 5 Konfigurieren von
Open Directory-Diensten 5 Open Directory-Dienste – Verzeichnisdienste und Identifizierungsdienste – sind ein wichtiger Teil der Infrastruktur
eines Netzwerks. Diese Dienste haben erhebliche Auswirkungen auf andere Netzwerkdienste und Benutzer. Aus
diesem Grund müssen Sie Open Directory von Anfang an
korrekt konfigurieren.
Konfigurationsübersicht
Im Folgenden finden Sie eine Übersicht über die Hauptaufgaben, die Sie zum Konfigurieren der Open Directory-Dienste ausführen. Detaillierte Informationen zu den
einzelnen Schritten finden Sie auf den angegebenen Seiten.
Schritt 1: Vorbereitende Planung
Eine Liste der Punkte, die Sie vor dem Konfigurieren von Open Directory unter Mac OS X
Server bedenken sollten, finden Sie im Abschnitt „Vorbereitung“ auf Seite 93.
Schritt 2: Aktivieren des Open Directory-Diensts
Verwenden Sie das Programm „Server-Admin“, um den Open Directory-Dienst zu aktivieren. Nach der Aktivierung können Sie die Einstellungen des Open Directory-Diensts konfigurieren. Weitere Informationen zum Aktivieren des Open Directory-Diensts finden Sie
im Abschnitt „Aktivieren von Open Directory“ auf Seite 94.
Schritt 3: Konfigurieren eines eigenständigen Verzeichnisdiensts
Informationen zum Konfigurieren von Servern, die keine Identifizierungs- und anderen
Verwaltungsinformationen von einem Verzeichnisdienst erhalten, finden Sie im Abschnitt
„Konfigurieren eines eigenständigen Verzeichnisdiensts“ auf Seite 94.
Schritt 4: Konfigurieren eines Open Directory-Masters
Informationen zum Konfigurieren eines Servers für das Bereitstellen von Verzeichnisund Identifizierungsdiensten finden Sie in den Abschnitten „Kompatibilität von Open
Directory-Master und -Replik“ auf Seite 78 und „Konfigurieren eines Open DirectoryMasters“ auf Seite 95. 91 Schritt 5: Konfigurieren eines primären Domain-Controllers (PDC)
Informationen zum Konfigurieren eines Servers für das Bereitstellen von Verzeichnisund Identifizierungsdiensten für Windows- und Mac OS X-Plattformen finden Sie im
Abschnitt „Konfigurieren eines primären Domain-Controllers (PDC)“ auf Seite 98.
Schritt 6: Konfigurieren einer Open Directory-Replik
Informationen zum Konfigurieren von Servern für das Bereitstellen von Verzeichnis- und
Identifizierungsdiensten für die Ausfallumschaltung oder von entfernten Verzeichnis- und
Identifizierungsdiensten für die schnelle Client-Interaktion in verteilten Netzwerken finden Sie im Abschnitt „Konfigurieren einer Open Directory-Replik“ auf Seite 102.
Schritt 7: Konfigurieren von Open Directory-Relais für die kaskadierende Replikation
Informationen zum Konfigurieren eines Servers als Replik oder Relais eines Open
Directory-Masters, die bzw. das Computern Verzeichnis- und Identifizierungsinformationen bereitstellen kann, finden Sie im Abschnitt „Konfigurieren von Open
Directory-Relais für die kaskadierende Replikation“ auf Seite 105.
Schritt 8: Konfigurieren eines Servers als Backup-Domain-Controller (BDC)
Informationen zum Konfigurieren von Servern für das Bereitstellen der Ausfallumschaltung für Ihren primären Domain-Controller finden Sie im Abschnitt „Konfigurieren eines Servers als BDC“ auf Seite 105.
Schritt 9: Konfigurieren der Server, die eine Verbindung zu anderen Verzeichnissystemen herstellen
Wenn Sie über Dateiserver oder andere Server mit Zugriff auf Verzeichnis- und Identifizierungsdienste verfügen, finden Sie entsprechende Informationen im Abschnitt
„Konfigurieren einer Verbindung zu einem Verzeichnisserver“ auf Seite 107.
Schritt 10: Konfigurieren der Kerberos-Identifizierung mit Gesamtauthentifizierung
Wenn Sie einen Open Directory-Master haben, können Sie weitere Server für den Beitritt zum Kerberos-Realm des Masters konfigurieren. Wenn Sie einen Open DirectoryMaster ohne Kerberos einrichten, so können Sie Kerberos später konfigurieren. Weitere
Informationen hierzu finden Sie im Abschnitt „Konfigurieren der Kerberos-Identifizierung mit Gesamtauthentifizierung“ auf Seite 112.
Schritt 11: Konfigurieren von Client-Computern für das Verbinden mit
Verzeichnisdiensten
Wenn Sie einen Open Directory-Master haben, müssen Sie Client-Computer für den
Zugriff auf die Verzeichnis-Domain des Masters konfigurieren. Sie können Computer auch für den Zugriff auf andere Verzeichnisdienste konfigurieren, etwa Active
Directory von Microsoft. Weitere Informationen hierzu finden Sie in den Abschnitten Kapitel 7 „Verwalten von Verzeichnis-Clients“ und Kapitel 8 „Erweiterte Einstellungen für Directory-Clients“.
Schritt 12: Beschreiben des Anmeldevorgangs für Benutzer
Weitere Informationen hierzu finden Sie im Abschnitt „Beschreiben des Anmeldevorgangs für Benutzer“ auf Seite 98. 92 Kapitel 5 Konfigurieren von Open Directory-Diensten Vorbereitung
Beachten Sie Folgendes, bevor Sie Open Directory-Dienste erstmalig einrichten:
 Machen Sie sich mit den Verwendungsmöglichkeiten von Verzeichnisdaten vertraut
und ermitteln Sie Ihre Verzeichniserfordernisse.
Ermitteln Sie die Dienste, die Daten von Verzeichnis-Domains erfordern, und bestimmen Sie, welche Benutzer Zugriff auf diese Dienste benötigen.
Benutzer, deren Informationen am einfachsten auf einem Server verwaltet werden
können, sollten im gemeinsam genutzten LDAP-Verzeichnis des Mac OS X Servers
definiert werden, der der Open Directory-Master ist. Einige dieser Benutzer können
in Verzeichnis-Domains auf anderen Servern definiert werden, etwa in einer Active
Directory-Domain auf einem Windows-Server.
Diese Konzepte werden in Kapitel 1 „Verzeichnisdienste mit Open Directory“ erörtert.
 Stellen Sie fest, ob Sie mehrere gemeinsam genutzte Domains benötigen. Entscheiden Sie, wenn dem so ist, welche Benutzer in welcher gemeinsam genutzten Domain
definiert werden. Weitere Informationen hierzu finden Sie im Abschnitt „Mehrstufige
Suchpfade“ auf Seite 40.
 Ermitteln Sie, welche Optionen zur Identifizierung Benutzer benötigen. Informationen zu verfügbaren Optionen finden Sie in Kapitel 3 „Open Directory-Identifizierung“. Legen Sie fest, ob Sie Repliken Ihres Open Directory-Masters oder ein BDC für
Ihren PDC haben wollen. In Kapitel 4 „Programme zur Planung und Verwaltung von
Open Directory“ finden Sie entsprechende Richtlinien.
 Wählen Sie die Serveradministratoren sorgfältig aus. Stellen Sie Administratorkennwörter nur vertrauenswürdigen Benutzern zur Verfügung. Versuchen Sie, mit möglichst wenigen Administratoren auszukommen. Vermeiden Sie es, anderen Benutzern
für nebensächliche Aufgaben wie das Ändern von Einstellungen in einem Benutzereintrag Administratorzugriff zu geben.
Verzeichnisinformationen haben grundlegende Auswirkungen auf alle Benutzer, deren
Computer diese Informationen verwenden. Verwalten von Open Directory auf einem entfernten Server
Sie können das Programm „Server-Admin“ auf einem Computer mit Mac OS X 10.4
(oder neuer) installieren und damit Open Directory auf einem beliebigen Server in
Ihrem lokalen Netzwerk und darüber hinaus verwalten. Sie können Open Directory
auch über das Netzwerk mithilfe von Befehlszeilenprogrammen von einem Mac OS XComputer oder einem Nicht-Macintosh-Computer aus verwalten.
Weitere Informationen hierzu finden Sie im Kapitel zur Serververwaltung im Handbuch Einführung. Kapitel 5 Konfigurieren von Open Directory-Diensten 93 Aktivieren von Open Directory
Damit Sie die Open Directory-Einstellungen konfigurieren können, müssen Sie den
Open Directory-Dienst im Programm „Server-Admin“ aktivieren.
1
2
3
4
5 Gehen Sie wie folgt vor, um den Open Directory-Dienst zu aktivieren:
Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
Klicken Sie auf „Einstellungen“.
Klicken Sie auf „Dienste“.
Wählen Sie das Markierungsfeld „Open Directory“ aus.
Klicken Sie auf „Sichern“. Konfigurieren eines eigenständigen Verzeichnisdiensts
Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server so konfigurieren,
dass nur die lokale Verzeichnis-Domain des Servers verwendet wird. Der Server liefert
anderen Computern keine Verzeichnisinformationen und bezieht keine Verzeichnisinformationen von einem vorhandenen System. (Die lokale Verzeichnis-Domain kann
nicht gemeinsam genutzt werden.)
Wenn Sie Mac OS X Server so ändern, dass es Verzeichnisinformationen nur von seiner
lokalen Verzeichnis-Domain abruft, sind Benutzereinträge und weitere Informationen,
die der Server von einer gemeinsam genutzten Verzeichnis-Domain abgerufen hat,
nicht mehr verfügbar. Die Benutzereinträge und weitere Informationen in der gemeinsam genutzten Verzeichnis-Domain werden gelöscht.
Dateien und Ordner auf dem Server stehen möglicherweise Benutzern nicht mehr
zur Verfügung, deren Accounts sich in der gemeinsam genutzten VerzeichnisDomain befinden.
Wenn der Server ein Open Directory-Master ist und weitere Server mit ihm verbunden
sind, ist Folgendes möglich:
 Auf den verbundenen Servern können Dienste gestört werden, wenn die BenutzerAccounts und weitere Informationen in der gemeinsam genutzten Verzeichnis-Domain
nicht mehr verfügbar sind.
 Benutzer, deren Accounts sich in der gemeinsam genutzten Verzeichnis-Domain
befinden, sind möglicherweise nicht in der Lage, auf Dateien und Ordner auf dem
Open Directory-Master und auf anderen Servern zuzugreifen, die mit der zugehörigen gemeinsam genutzten LDAP-Verzeichnis-Domain verbunden waren.
Sie können von den Verzeichnis- und Identifizierungsdaten des Open DirectoryMasters eine Kopie archivieren, bevor Sie sie in einen eigenständigen Open Directory-Verzeichnisdienst umwandeln. Weitere Informationen hierzu finden Sie im
Abschnitt „Archivieren eines Open Directory-Masters“ auf Seite 230.
Sie können Benutzer, Benutzergruppen und Computergruppen auch vom Open
Directory-Master exportieren, bevor Sie sie in einen eigenständigen Verzeichnisdienst
umwandeln. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung. 94 Kapitel 5 Konfigurieren von Open Directory-Diensten Gehen Sie wie folgt vor, um einen Server dafür zu konfigurieren, nur die eigene, nicht
gemeinsam genutzte lokale Verzeichnis-Domain zu verwenden:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“.
5 Klicken Sie auf „Server umwandeln“.
Der Konfigurationsassistent für Dienste wird geöffnet.
6 Wählen Sie „Eigenständiger Server“ und klicken Sie dann auf „Fortfahren“.
7 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie dann
auf „Fortfahren“.
8 Wenn Sie sicher sind, dass Benutzer und Dienste keinen Zugriff auf die Verzeichnisdaten mehr benötigen, die in der gemeinsam genutzten Domain gespeichert sind, die
der Server bereitgestellt hat oder mit der er verbunden war, klicken Sie auf „Schließen“. Konfigurieren eines Open Directory-Masters
Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server als Open DirectoryMaster konfigurieren, sodass anderen Systemen Verzeichnisinformationen und Informationen zur Identifizierung zur Verfügung gestellt werden können.
Mac OS X Server stellt Verzeichnisinformationen als Host einer gemeinsam genutzten LDAP-Verzeichnis-Domain zur Verfügung. Außerdem identifiziert der Server
Benutzer, deren Accounts in der gemeinsam genutzten LDAP-Verzeichnis-Domain
gespeichert sind.
Ein Open Directory-Master verfügt über einen Open Directory-Kennwortserver, der alle
herkömmlichen Identifizierungsmethoden unterstützt, die von den Mac OS X ServerDiensten benötigt werden. Außerdem kann ein Open Directory-Master eine KerberosIdentifizierung mit Gesamtauthentifizierung bereitstellen.
Soll der Open Directory-Master eine Kerberos-Identifizierung mit Gesamtauthentifizierung bereitstellen, muss DNS im Netzwerk verfügbar sein und ordnungsgemäß konfiguriert werden, damit der vollständig qualifizierte DNS-Name des Open DirectoryMaster-Servers in seine IP-Adresse aufgelöst werden kann. Zudem muss DNS so konfiguriert sein, dass die IP-Adresse in den vollständig qualifizierten DNS-Namen des
Servers aufgelöst werden kann. Kapitel 5 Konfigurieren von Open Directory-Diensten 95 Wichtig: Wenn Sie eine Open Directory-Replik in einen Open Directory-Master umwandeln, hängt die zu verwendende Vorgehensweise davon ab, ob die Replik den Master
ersetzt oder zu einem zusätzlichen Master wird:
 Wenn eine Replik einen nicht funktionierenden Master ersetzen soll, befolgen Sie
nicht diese Anleitungen, sondern die Anleitungen im Abschnitt „Umwandeln einer
Open Directory-Replik in einen Master“ auf Seite 226.
 Wenn Sie eine Replik in einen zusätzlichen Master umwandeln wollen, müssen Sie
die Replik zuerst deaktivieren, wie im Abschnitt „Deaktivieren einer Open DirectoryReplik“ auf Seite 229 beschrieben. Dann wandeln Sie die Replik anhand der Schritte
in diesem Thema in einen Master um.
Hinweis: Ein Server mit Mac OS X Server, der vor der Umwandlung in einen Open
Directory-Master mit einem Verzeichnissystem verbunden war, bleibt auch nach der
Umwandlung mit diesem anderen Verzeichnissystem verbunden. Der Server sucht
in der zugehörigen gemeinsam genutzten LDAP-Verzeichnis-Domain nach Benutzereinträgen und weiteren Informationen, bevor die Suche in anderen verbundenen
Verzeichnissystemen fortgesetzt wird.
Gehen Sie wie folgt vor, um einen Server als Open Directory-Master zu konfigurieren:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“.
Wenn die Option „Funktion“ auf „Open Directory-Replik“ gesetzt ist und Sie einen neuen
Open Directory-Master erstellen wollen, müssen Sie die Funktion des Servers in „Eigenständig“ ändern. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren
eines eigenständigen Verzeichnisdiensts“ auf Seite 94.
Wenn Sie eine in einen Master umzuwandelnde Open Directory-Replik nicht zuerst als
eigenständigen Server einstellen, ersetzt die Replik den bisherigen Master, statt einen
neuen Master zu erstellen. Weitere Informationen hierzu finden Sie im Abschnitt
„Umwandeln einer Open Directory-Replik in einen Master“ auf Seite 226.
5 Klicken Sie auf „Ändern“.
Damit wird der Konfigurationsassistent für Dienste geöffnet.
6 Wählen Sie „Open Directory-Master“ aus und klicken Sie auf „Fortfahren“. 96 Kapitel 5 Konfigurieren von Open Directory-Diensten 7 Geben Sie die folgenden Informationen des Master-Domain-Administrators ein und
klicken Sie auf „Fortfahren“.
 Name, Kurzname, Benutzer-ID, Kennwort: Sie müssen einen Benutzer-Account für
den primären Administrator des LDAP-Verzeichnisses erstellen. Bei diesem Account
handelt es sich nicht um eine Kopie des Administrator-Accounts in der lokalen Verzeichnis-Domain des Servers. Wählen Sie für den LDAP-Verzeichnisadministrator
einen anderen Namen und eine andere Benutzer-ID als für die Benutzer-Accounts
in der lokalen Verzeichnis-Domain. Außerdem müssen Sie dem Verzeichnis-Administrator-Account eine Benutzer-ID unter 100 zuweisen, wenn Sie die Auflistung dieses Accounts im Anmeldefenster verhindern wollen, denn Accounts mit einer
Benutzer-ID unter 100 werden im Anmeldefenster nicht angezeigt.
Hinweis: Wenn Sie Ihren Open Directory-Master mit anderen Verzeichnis-Domains
verbinden möchten, wählen Sie für jede Domain einen eindeutigen Namen und eine
eindeutige Benutzer-ID. Verwenden Sie nicht die vorgegebene Benutzer-ID diradmin.
Verwenden Sie einen Namen, der Aufschluss über die Verzeichnis-Domain gibt, die
der Verzeichnisadministrator steuert.
8 Geben Sie die folgenden Informationen der Master-Domain ein und klicken Sie
auf „Fortfahren“:
 Kerberos-Realm: Dieses Feld entspricht aufgrund der Voreinstellung dem DNSNamen des Servers in Großbuchstaben. Hierbei handelt es sich um die Konvention
bei der Benennung eines Kerberos-Realms. Sie können falls erforderlich einen anderen Namen eingeben.
 Suchbeginn: Dieses Feld ist auf ein Suchbeginn-Suffix für das neue LDAP-Verzeichnis
eingestellt, das vom Domain-Teil des DNS-Namens des Servers abgeleitet wird. Sie
können ein anderes Suchbeginn-Suffix eingeben oder dieses Feld leer lassen. Wenn
Sie dieses Feld leer lassen, wird das standardmäßige Suchbeginn-Suffix des LDAPVerzeichnisses verwendet.
9 Prüfen Sie die Einstellungen und klicken Sie dann auf „Schließen“.
10 Prüfen Sie, ob der Open Directory-Master korrekt funktioniert, indem Sie auf „Übersicht“
klicken (im oberen Bereich des Fensters „Server-Admin“, wenn „Open Directory“ in der
Liste der Dienste ausgewählt ist).
Der Status aller im Übersichtsbereich von Open Directory aufgeführten Objekte sollte
„Arbeitet“ lautet. Wenn Kerberos weiterhin unterbrochen ist und Sie den Dienst ausführen möchten, lesen Sie den Abschnitt „Kerberos ist auf einem Open Directory-Master
oder einer Replik gestoppt“ auf Seite 235. Kapitel 5 Konfigurieren von Open Directory-Diensten 97 Nach dem Konfigurieren eines Mac OS X Server-Computers als Open Directory-Master
können Sie dessen Bindungsrichtlinie, Sicherheitsrichtlinie, Kennwortrichtlinie, Replikationsfrequenz und LDAP-Protokolloptionen ändern. Weitere Informationen hierzu finden Sie im Abschnitt „Festlegen von Optionen für einen Open Directory-Server“ auf
Seite 217.
Sie können andere Computer mit Mac OS X oder Mac OS X Server für den Zugriff auf
die gemeinsam genutzte LDAP-Verzeichnis-Domain des Servers konfigurieren. Weitere
Informationen hierzu finden Sie im Abschnitt „Verwenden erweiterter Einstellungen für
den LDAP-Dienst“ auf Seite 155. Beschreiben des Anmeldevorgangs für Benutzer
Wenn ein Mac OS X-Computer mit einer Verzeichnis-Domain verbunden und für das
Anzeigen einer Benutzerliste im Mac OS X-Anmeldefenster konfiguriert ist, enthält die
Liste u. U. den Eintrag „Andere Accounts“. Informieren Sie Benutzer, die sich noch nie
an einem Netzwerk-Account angemeldet haben, dass sie auf „Andere“ klicken und
dann den Account-Namen und das Kennwort eingeben müssen.
Benutzer können ihren Computer so konfigurieren, dass keine Benutzerliste im Anmeldefenster angezeigt wird. Benutzer können diese Einstellung in der Systemeinstellung
„Benutzer“ ändern, indem sie auf „Anmeldeoptionen“ klicken.
Sie können einstellen, dass das Anmeldefenster eines Computers Netzwerkbenutzer in
seiner Liste anzeigt, oder Sie können das Anzeigen der Liste unterbinden, indem Sie die
Computereinstellungen entsprechend verwalten. Mit dem Arbeitsgruppenmanager
können Sie die Anmeldeeinstellungen für den Computergruppen-Account konfigurieren, zu dem der Computer gehört. Wenn Sie Computer verwalten wollen, die nicht zu
einem bestimmten Computergruppen-Account gehören, müssen Sie die Anmeldeeinstellungen für den Gastcomputer-Account konfigurieren.
Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung. Konfigurieren eines primären Domain-Controllers (PDC)
Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server als Windows-PDC
(primärer Domain-Controller) konfigurieren. Der PDC stellt eine Windows-Domain sowie
Identifizierungsdienste für andere Domain-Mitglieder bereit, einschließlich der Identifizierung für die Domain-Anmeldung an Windows-Workstations.
Wenn kein Domain-Mitgliedsserver verfügbar ist, kann der PDC-Server Windows-Dateiund Druckdienste zur Verfügung stellen sowie Benutzerprofile und Benutzerordner für
Benutzer bereitstellen, die Benutzer-Accounts auf dem PDC haben.
Wichtig: Stellen Sie beim Einrichten von Mac OS X Server als PDC sicher, dass es in
Ihrem Netzwerk keinen weiteren PDC mit demselben Domain-Namen gibt. Wenn Sie
weitere Domain-Controller konfigurieren wollen, müssen Sie sie als BDCs (BackupDomain-Controller) konfigurieren. 98 Kapitel 5 Konfigurieren von Open Directory-Diensten Gehen Sie wie folgt vor, um einen Windows-PDC zu konfigurieren:
1 Vergewissern Sie sich, dass der Server ein Open Directory-Master ist.
Wenn Sie feststellen wollen, ob ein Server ein Open Directory-Master ist, müssen Sie das
Programm „Server-Admin“ öffnen, auf das Dreieck links neben dem Server klicken, Open
Directory in der Liste der Dienste auswählen und anschließend auf „Übersicht“ klicken.
Die erste Zeile der Statusinformationen gibt die Funktion des Open Directory-Servers an.
2 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
3 Klicken Sie zuerst auf „Einstellungen“ und dann auf „Dienste“.
4 Wählen Sie das Markierungsfeld „SMB“ aus und klicken Sie dann auf „Sichern“.
5 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
6 Wählen Sie „SMB“ in der Liste der Dienste aus.
7 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“.
8 Wählen Sie „Primärer Domain-Controller (PDC)“ aus dem Einblendmenü „Funktion“ aus
und geben Sie Folgendes ein:
 Beschreibung: Diese Beschreibung wird im Fenster „Netzwerkumgebung“ auf WindowsComputern angezeigt und ist optional.
 Computername: Geben Sie den Namen ein, der Windows-Benutzern angezeigt werden
soll, wenn sie eine Verbindung zum Server herstellen. Hierbei handelt es sich um den
NetBIOS-Namen des Servers. Der Name darf nicht länger als 15 Zeichen sein und darf
keine Sonderzeichen oder Satzzeichen enthalten. Passen Sie den Servernamen ggf. an
seinen nicht qualifizierten DNS-Hostnamen an. Wird Ihr Server auf dem DNS-Server
beispielsweise mit „server.beispiel.com“ bezeichnet, nennen Sie Ihren Server „server“.
 Domäne: Geben Sie den Namen der Windows-Domain ein, die der Server bereitstellen soll. Der Domain-Name darf maximal 15 Zeichen lang sein und kann nicht
„workgroup“ lauten.
9 Klicken Sie auf „Sichern“.
10 Geben Sie den Namen und das Kennwort eines LDAP-Verzeichnisadministrator-Accounts
ein und klicken Sie dann auf „OK“.
Bei der Identifizierung müssen Sie einen LDAP-Verzeichnisadministrator-Account verwenden. Es ist nicht möglich, zum Erstellen eines PDCs einen lokalen Administrator-Account
zu verwenden, etwa den primären Serveradministrator-Account (Benutzer-ID 501).
Nach dem Einrichten eines PDCs können Sie die Zugriffsbeschränkungen, die Detailstufe für Anmeldungen, die Code-Seite, das Durchsuchen von Domains oder die WINSRegistrierung ändern. Danach können Sie nicht aktive Windows-Dienste starten. Weitere Informationen hierzu finden Sie im Handbuch Netzwerkdienste – Administration. Kapitel 5 Konfigurieren von Open Directory-Diensten 99 Konfigurieren von Windows Vista für die Domain-Anmeldung
Sie können die Domain-Anmeldung auf einem Windows Vista-Computer aktivieren,
indem Sie den Computer der Windows-Domain eines Mac OS X Server-PDCs hinzufügen. Für das Hinzufügen zur Windows-Domain sind Name und Kennwort eines
LDAP-Verzeichnisadministrator-Accounts erforderlich.
Sie können diese Aufgabe an einen Benutzer delegieren, der über einen lokalen
Administrator-Account auf dem Windows-Computer verfügt. In einem solchen Fall
empfiehlt es sich, einen temporären LDAP-Verzeichnisadministrator-Account mit
begrenzten Zugriffsrechten zu erstellen. Weitere Informationen hierzu finden Sie
im Handbuch Benutzerverwaltung.
Hinweis: Nur die Editionen „Windows Vista Ultimate“ und „Windows Vista Business“
können mit einer Domain verbunden werden.
Gehen Sie wie folgt vor, um einen Windows Vista-Computer einer Windows-Domain
hinzuzufügen:
1 Melden Sie sich mithilfe eines lokalen Administrator-Account bei Windows Vista an.
2 Öffnen Sie die Systemsteuerung und wählen Sie „System“ aus.
3 Klicken Sie auf „Einstellungen ändern“.
4 Klicken Sie zuerst auf „Computername“ und dann auf „Ändern“.
5 Geben Sie einen Computernamen ein, klicken Sie auf „Domäne“, geben Sie den
Domain-Namen des Mac OS X Server-PDCs ein und klicken Sie auf „OK“.
Suchen Sie den Domain-Namen des Servers und öffnen Sie das Programm „ServerAdmin“ auf dem Server oder auf einem Administratorcomputer. Wählen Sie „SMB“ in
der Liste der Dienste aus und klicken Sie zuerst auf „Einstellungen“ und anschließend
auf „Allgemein“.
6 Geben Sie den Namen und das Kennwort eines LDAP-Verzeichnisadministrators ein
und klicken Sie auf „Sichern“. Konfigurieren von Windows XP für die Domain-Anmeldung
Sie können die Domain-Anmeldung auf einem Windows XP-Computer aktivieren,
indem Sie den Computer der Windows-Domain eines Mac OS X Server-PDCs hinzufügen. Für das Hinzufügen zur Windows-Domain sind Name und Kennwort eines
LDAP-Verzeichnisadministrator-Accounts erforderlich.
Sie können diese Aufgabe an einen Benutzer delegieren, der über einen lokalen
Administrator-Account auf dem Windows-Computer verfügt. In einem solchen Fall
empfiehlt es sich, einen temporären LDAP-Verzeichnisadministrator-Account mit
begrenzten Zugriffsrechten zu erstellen. Weitere Informationen hierzu finden Sie
im Handbuch Benutzerverwaltung. 100 Kapitel 5 Konfigurieren von Open Directory-Diensten Gehen Sie wie folgt vor, um einen Windows XP-Computer einer Windows-Domain
hinzuzufügen:
1 Melden Sie sich mithilfe eines lokalen Administrator-Account bei Windows XP an.
2 Öffnen Sie die Systemsteuerung und wählen Sie „System“ aus.
3 Klicken Sie zuerst auf „Computername“ und dann auf „Ändern“.
4 Geben Sie einen Computernamen ein, klicken Sie auf „Domäne“, geben Sie den
Domain-Namen des Mac OS X Server-PDCs ein und klicken Sie auf „OK“.
Suchen Sie den Domain-Namen des Servers und öffnen Sie das Programm „ServerAdmin“ auf dem Server oder auf einem Administratorcomputer. Wählen Sie „SMB“ in
der Liste der Dienste aus und klicken Sie zuerst auf „Einstellungen“ und anschließend
auf „Allgemein“.
5 Geben Sie den Namen und das Kennwort eines LDAP-Verzeichnisadministrators ein
und klicken Sie auf „OK“. Konfigurieren von Windows 2000 für die Domain-Anmeldung
Sie können die Domain-Anmeldung auf einem Windows 2000-Computer aktivieren,
indem Sie den Computer der Windows-Domain eines Mac OS X Server-PDCs hinzufügen. Für das Hinzufügen zur Windows-Domain sind Name und Kennwort eines
LDAP-Verzeichnisadministrator-Accounts erforderlich.
Sie können diese Aufgabe an einen Benutzer delegieren, der über einen lokalen
Administrator-Account auf dem Windows-Computer verfügt. In einem solchen Fall
empfiehlt es sich, einen temporären LDAP-Verzeichnisadministrator-Account mit
begrenzten Zugriffsrechten zu erstellen. Weitere Informationen hierzu finden Sie
im Handbuch Benutzerverwaltung.
Gehen Sie wie folgt vor, um einen Windows 2000-Computer einer Windows-Domain
hinzuzufügen:
1 Melden Sie sich mithilfe eines lokalen Administrator-Account bei Windows 2000 an.
2 Öffnen Sie die Systemsteuerung und wählen Sie „System“ aus.
3 Klicken Sie zuerst auf „Netzwerkidentifizierung“ und dann auf „Eigenschaften“.
4 Geben Sie einen Computernamen ein, klicken Sie auf „Domäne“, geben Sie den
Domain-Namen des Mac OS X Server-PDCs ein und klicken Sie auf „OK“.
Suchen Sie den Domain-Namen des Servers und öffnen Sie das Programm „ServerAdmin“ auf dem Server oder auf einem Administratorcomputer. Wählen Sie „SMB“ in
der Liste der Dienste aus und klicken Sie zuerst auf „Einstellungen“ und anschließend
auf „Allgemein“.
5 Geben Sie den Namen und das Kennwort eines LDAP-Verzeichnisadministrators ein
und klicken Sie auf „Sichern“. Kapitel 5 Konfigurieren von Open Directory-Diensten 101 Konfigurieren einer Open Directory-Replik
Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server als Replik eines
Open Directory-Masters konfigurieren, um anderen Systemen die gleichen Verzeichnisinformationen und Informationen zur Identifizierung zu übermitteln wie der Master.
Der Replikserver ist Host einer schreibgeschützten Kopie der LDAP-Verzeichnis-Domain
des Masters. Der Replikserver dient auch als Host einer Kopie des Open Directory-Kennwortservers und des Kerberos-KDC (Key Distribution Center) mit Schreib- und Lesezugriff.
Open Directory-Repliken bieten folgende Vorteile:
 In einem Weitverkehrsnetzwerk (WAN) von lokalen Netzwerken (LAN), die über langsame Verbindungen verbunden sind, ermöglichen Repliken in den LANs Servern und
Client-Computern schnellen Zugriff auf Benutzer-Accounts und andere Verzeichnisinformationen.
 Eine Replik erhöht die Ausfallsicherheit dank redundanter Daten. Wenn der Open
Directory-Master ausfällt, werden mit ihm verbundene Computer auf eine nahegelegene Replik umgeschaltet. Diese automatische Ausfallumschaltung ist eine
Funktion der Versionen 10.4 und 10.5 von Mac OS X und Mac OS X Server.
Hinweis: Wenn in Ihrem Netzwerk Mac OS X Server der Versionen 10.4 und 10.5 integriert sind, kann die eine Version nicht als Replik eines Masters der anderen Version
eingesetzt werden. Ein Open Directory-Master der Version 10.5 kann keine Replik
für Mac OS X Server 10.4 erzeugen. Ebenso erzeugt ein Open Directory-Master von
Mac OS X Server 10.4 keine Replik für Mac OS X Server 10.5.
Beim Konfigurieren einer Open Directory-Replik müssen alle Verzeichnis- und Identifizierungsdaten vom Open Directory-Master in die Replik kopiert werden. In Abhängigkeit von der Größe der Verzeichnis-Domain kann die Replikation mehrere Sekunden
oder Minuten dauern. Eine Replikation über eine langsame Netzwerkverbindung kann
viel Zeit in Anspruch nehmen.
Während der Replikation stellt der Master keine Verzeichnis- oder Identifizierungsdienste zur Verfügung. Benutzer-Accounts im LDAP-Master-Verzeichnis können erst zum
Anmelden oder Identifizieren bei Diensten verwendet werden, wenn die Replikation
abgeschlossen ist.
Konfigurieren Sie eine Replik, bevor das LDAP-Verzeichnis des Masters vollständig
aufgefüllt ist, oder zu einer Tageszeit, zu der der Verzeichnisdienst nicht benötigt
wird. Dadurch hält sich die Unterbrechung des Verzeichnisdiensts in Grenzen. Das
Konfigurieren einer weiteren Replik schirmt Clients des Verzeichnisdiensts gegen
Probleme ab, wenn der Master nicht verfügbar ist. 102 Kapitel 5 Konfigurieren von Open Directory-Diensten Ein Servercomputer mit Mac OS X Server, der vor der Umwandlung in eine Open
Directory-Replik mit einem anderen Verzeichnissystem verbunden war, bleibt auch
nach der Umwandlung mit diesem anderen Verzeichnissystem verbunden. Der
Server sucht in der zugehörigen gemeinsam genutzten LDAP-Verzeichnis-Domain
nach Benutzereinträgen und weiteren Informationen, bevor die Suche in anderen
verbundenen Verzeichnissystemen fortgesetzt wird.
Gehen Sie wie folgt vor, um einen Server als Host einer Replik eines Open DirectoryMasters zu konfigurieren:
1 Stellen Sie sicher, dass der Master, die zu erstellende Replik und alle Firewalls zwischen
ihnen für die SSH-Kommunikation (Port 22) konfiguriert sind.
Im Programm „Server-Admin“ können Sie SSH für Mac OS X Server aktivieren. Wählen
Sie den Server in der Liste der Server aus und klicken Sie auf „Einstellungen“. Klicken
Sie anschließend auf „Allgemein“ und wählen Sie die Option „Entfernte Anmeldung
(SSH)“ aus.
Stellen Sie sicher, dass der SSH-Zugriff auf dem zu erstellenden Master nicht auf
bestimmte Benutzer oder Gruppen beschränkt ist (mithilfe von SACLs). Sonst verfügt das Programm „Server-Admin“ während der Erstellung der Replik nicht über
die erforderlichen Berechtigungen. Unter „Einstellungen“ > „Zugriff“ im Programm
„Server-Admin“ können Sie SACLs temporär deaktivieren.
Weitere Informationen zu SSH finden Sie im Handbuch Einführung. Weitere Informationen zum Zulassen der SSH-Kommunikation über die Firewall von Mac OS X Server
finden Sie im Handbuch Netzwerkdienste – Administration.
2 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
3 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
4 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
5 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“.
6 Klicken Sie auf „Ändern“.
Der Konfigurationsassistent für Dienste wird geöffnet.
7 Wählen Sie „Open Directory-Replik“ aus und klicken Sie auf „Fortfahren“.
8 Geben Sie die folgenden erforderlichen Informationen ein:
 IP-Adresse oder DNS des Open Directory-Masters: Geben Sie die IP-Adresse oder den
DNS-Namen des Servers ein, der als Open Directory-Master fungiert.
 „root“-Kennwort des Open Directory-Masters: Geben Sie das Kennwort des root-Benutzers des Open Directory-Master-Systems ein (Benutzername des Systemadministrators).
 Domain-Administratorkurzname: Geben Sie den Namen eines AdministratorAccounts einer LDAP-Verzeichnis-Domain ein.
 Domain-Administratorkennwort: Geben Sie das Kennwort des Administrator-Accounts
ein, dessen Name Sie angegeben haben. Kapitel 5 Konfigurieren von Open Directory-Diensten 103 9 Klicken Sie auf „Fortfahren“.
10 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie dann
auf „Fortfahren“.
11 Klicken Sie auf „Schließen“.
12 Vergewissern Sie sich, dass Datum, Uhrzeit und Zeitzone von Replik und Master
richtig sind.
Die Replik und der Master sollten denselben Netzwerk-Zeitserver verwenden, sodass
ihre Systemuhren synchron sind.
Nach dem Konfigurieren einer Open Directory-Replik verbinden sich bei Bedarf
weitere Computer.
Auf Computern mit der Version 10.3 oder 10.4 von Mac OS X oder Mac OS X Server
ist eine Liste der Open Directory-Repliken gespeichert. Kann einer dieser Computer
keinen Kontakt zum Open Directory-Master für Verzeichnis- und Identifizierungsdienste herstellen, verbindet er sich mit der nächstgelegenen Replik des Masters.
Sie können Mac OS X-Computer dafür konfigurieren, eine Verbindung zu einer Open
Directory-Replik statt zum Open Directory-Master herzustellen, um Verzeichnis- und
Identifizierungsdienste in Anspruch zu nehmen. Auf jedem Mac OS X-Computer können Sie das Programm „Verzeichnisdienste“ verwenden, um eine LDAPv3-Konfiguration für den Zugriff auf das LDAP-Verzeichnis der Replik zu erstellen.
Sie können auch einen DHCP-Server dafür konfigurieren, das LDAP-Verzeichnis der Replik
an Mac OS X-Computer zu übermitteln, die die Adresse eines LDAP-Servers vom DHCPServer beziehen. Die Anleitungen finden Sie in den Abschnitten „Verwenden erweiterter
Einstellungen für den LDAP-Dienst“ auf Seite 155 und „Definieren von automatischen
Suchpfaden“ auf Seite 150.
Der Open Directory-Master aktualisiert die Replik. Sie können den Master dafür konfigurieren, seine Repliken in einem bestimmten Intervall oder sofort bei jeder Änderung
des Master-Verzeichnisses zu aktualisieren. Weitere Informationen hierzu finden Sie im
Abschnitt „Planen der Replikation eines Open Directory-Masters oder primären DomainControllers (PDC)“ auf Seite 224. Erstellen mehrerer Repliken eines Open Directory-Masters
Wenn Sie mehrere Server als Replik eines Open Directory-Masters einrichten wollen,
müssen Sie die Repliken nacheinander erstellen. Wenn Sie versuchen, zwei Repliken
gleichzeitig zu erstellen, wird der erste Replikationsversuch gelingen, der zweite
schlägt dagegen fehl. Ein anschließender Versuch, die zweite Replik zu erzeugen,
sollte dann wieder gelingen.
Sie können bis zu 32 Repliken eines Open Directory-Masters erstellen. Diese direkten
Mitglieder des Open Directory-Master-Servers werden als Relais bezeichnet. Jedes
Relais kann seinerseits 32 Repliken haben, sodass insgesamt 1056 Repliken in einer
zweistufigen Hierarchie möglich sind. 104 Kapitel 5 Konfigurieren von Open Directory-Diensten Konfigurieren von Open Directory-Relais für die kaskadierende Replikation
Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server als Replik oder
Relais eines Open Directory-Masters konfigurieren, um anderen Computern die gleichen Verzeichnis- und Identifizierungsinformationen zu übermitteln wie der Master.
Auf ein Relais treffen die folgenden zwei Bedingungen zu:
 Es ist eine Replik eines Open Directory-Masters (ein direktes Mitglied).
 Es verfügt über Repliken (Unterstützung von bis zu 32 Repliken).
Von einem Relais wird eine Replik auf dieselbe Weise konfiguriert wie von einem Open
Directory-Master. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren
einer Open Directory-Replik“ auf Seite 102. Konfigurieren eines Servers als BDC
Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server als Windows-BDC
konfigurieren. Der BDC bietet eine automatische Ausfallumschaltung (Failover) und eine
automatische Sicherung für die Windows-Domain-Anmeldung und für weitere WindowsClient-Anfragen für Identifizierungs- und Verzeichnisdienste.
Der BDC-Server kann weitere Windows-Dienste (SMB-Dienste) bereitstellen, einschließlich Dateidienst, Druckdienst, Suchdienst und WINS-Dienst (Windows Internet Name
Service). Der BDC kann Benutzerordner für Benutzer bereitstellen, die über BenutzerAccounts auf dem PDC/BDC verfügen.
Gehen Sie wie folgt vor, um einen Windows-BDC zu konfigurieren:
1 Vergewissern Sie sich, dass der Server eine Open Directory-Replik ist.
Wenn Sie feststellen wollen, ob ein Server eine Open Directory-Replik ist, müssen Sie das
Programm „Server-Admin“ öffnen und eine Verbindung zum Server herstellen. Klicken Sie
auf das Dreieck links neben dem Server (um die Liste zu erweitern), wählen Sie „Open
Directory“ in der Liste der Dienste aus und klicken Sie dann auf „Übersicht“. Die erste
Zeile der Statusinformationen gibt die Open Directory-Funktion des Servers an.
2 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
3 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
4 Wählen Sie „SMB“ in der Liste der Dienste aus.
5 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. Kapitel 5 Konfigurieren von Open Directory-Diensten 105 6 Wählen Sie „Sicherungs-Domain-Controller (BDC)“ aus dem Einblendmenü „Funktion“
aus und geben Sie Folgendes ein:
 Beschreibung: Diese Beschreibung wird im Fenster „Netzwerkumgebung“ auf WindowsComputern angezeigt und ist optional.
 Computername: Geben Sie den Namen ein, der Windows-Benutzern angezeigt werden soll, wenn sie eine Verbindung zum Server herstellen. Hierbei handelt es sich um
den NetBIOS-Namen des Servers. Der Name darf nicht länger als 15 Zeichen sein und
darf keine Sonderzeichen oder Satzzeichen enthalten. Passen Sie den Servernamen
ggf. an seinen nicht qualifizierten DNS-Hostnamen an. Wird Ihr Server auf dem DNSServer beispielsweise mit „server.beispiel.com“ bezeichnet, nennen Sie Ihren Server
„server“.
 Domäne: Geben Sie den Namen der Windows-Domain ein, die der Server bereitstellen soll. Der Domain-Name darf maximal 15 Zeichen lang sein und kann nicht
„workgroup“ lauten.
7 Klicken Sie auf „Sichern“.
8 Geben Sie den Namen und das Kennwort eines Benutzer-Accounts ein, der das LDAPVerzeichnis auf dem Server verwalten kann, und klicken Sie auf „OK“.
Bei der Identifizierung müssen Sie einen LDAP-Verzeichnisadministrator-Account verwenden. Es ist nicht möglich, zum Erstellen eines BDCs einen lokalen Administrator-Account
zu verwenden, etwa den primären Serveradministrator-Account (Benutzer-ID 501).
Nach dem Einrichten eines BDCs möchten Sie möglicherweise die Zugriffsbeschränkungen, die Detailstufe für Anmeldungen, die Code-Seite, das Durchsuchen
von Domains oder die WINS-Registrierung ändern. Danach können Sie nicht aktive
Windows-Dienste starten. Weitere Informationen hierzu finden Sie im Handbuch
Netzwerkdienste – Administration. Konfigurieren der Open Directory-Ausfallumschaltung
(Failover)
Wenn ein Open Directory-Master oder seine Repliken nicht mehr verfügbar sind, finden
die zugehörigen Client-Computer mit Mac OS X bzw. Mac OS X Server der Versionen 10.3
bis 10.5 automatisch eine verfügbare Replik und stellen eine Verbindung zu ihr her.
Repliken erlauben Clients nur das Lesen von Verzeichnisinformationen. Verzeichnisinformationen zu einer Replik können mit Verwaltungsprogrammen, wie z. B. dem Arbeitsgruppenmanager, nicht bearbeitet werden.
Benutzer, deren Kennworttyp „Open Directory“ ist, können ihre Kennwörter auf Computern ändern, die mit Open Directory-Repliken verbunden sind. Die Repliken synchronisieren Kennwortänderungen mit dem Master. Wenn der Master eine gewisse Zeit nicht
verfügbar ist, synchronisieren die Repliken Kennwortänderungen mit dem Master,
sobald er wieder verfügbar wird. 106 Kapitel 5 Konfigurieren von Open Directory-Diensten Wenn der Open Directory-Master dauerhaft ausfällt und Sie ein aktuelles Archiv seiner
Daten besitzen, können Sie die Daten auf einem neuen Master wiederherstellen. Alternativ dazu können Sie eine Replik als Master verwenden. Weitere Informationen finden
Sie in den Abschnitten „Wiederherstellen eines Open Directory-Masters“ auf Seite 231
und „Umwandeln einer Open Directory-Replik in einen Master“ auf Seite 226.
Hinweis: Verwaltet ein ausgefallener Open Directory-Master bzw. eine Replik ClientComputer mit Mac OS X 10.2 oder Mac OS X Server 10.2 (oder älter), gibt es für diese
Computer und Server keine automatische Ausfallumschaltung zu einer anderen Replik.
Wenn Sie einen ausgefallenen Master ersetzen, indem Sie eine Replik in den Master
umwandeln, können Sie manuell jeden Computer und jeden Server erneut so konfigurieren, dass er sich mit diesem neuen Master oder einer seiner Repliken verbindet.
Hierzu müssen Sie mithilfe des Programms „Verzeichnisdienste“ für jeden Computer
bzw. Server eine LDAPv3-Konfiguration erstellen, die angibt, wie der Computer auf
den neuen Master oder eine verfügbare Replik zugreift.
Weitere Informationen hierzu finden Sie im Abschnitt „Verwenden erweiterter Einstellungen für den LDAP-Dienst“ auf Seite 155. Konfigurieren einer Verbindung zu einem Verzeichnisserver
Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server dafür konfigurieren, Benutzereinträge und andere Verzeichnisinformationen aus der gemeinsam genutzten Verzeichnis-Domain eines anderen Servers abzurufen. Der andere Server übernimmt
auch die Identifizierung für die Verzeichnisinformationen. Mac OS X Server bezieht weiterhin Verzeichnisinformationen aus seiner eigenen lokalen Verzeichnis-Domain und
stellt die Identifizierung für diese lokalen Verzeichnisinformationen bereit.
Wichtig: Wenn Sie Mac OS X Server so ändern, dass es mit einem anderen Verzeichnissystem verbunden ist, statt als Open Directory-Master zu fungieren, wird die zugehörige gemeinsam genutzte LDAP-Verzeichnis-Domain deaktiviert. Dies hat folgende
Auswirkungen:
 Benutzereinträge und weitere Informationen in der gemeinsam genutzten Verzeichnis-Domain werden gelöscht.
 Wenn andere Server mit der Verzeichnis-Domain des Masters verbunden waren, können ihre Dienste unterbrochen werden, wenn die Benutzer-Accounts und andere Informationen in der deaktivierten Verzeichnis-Domain nicht mehr verfügbar sind.
 Es kann sein, dass Benutzer, die Accounts in der deaktivierten Verzeichnis-Domain
hatten, nicht mehr in der Lage sind, auf Dateien und Ordner auf dem Open DirectoryMaster und auf anderen Servern zuzugreifen, die mit der Verzeichnis-Domain des
Masters verbunden waren. Kapitel 5 Konfigurieren von Open Directory-Diensten 107 Gehen Sie wie folgt vor, um einen Server dafür zu konfigurieren, Verzeichnisdienste
von einem vorhandenen System zu beziehen:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“.
5 Klicken Sie auf „Ändern“.
Der Konfigurationsassistent für Dienste wird geöffnet.
6 Wählen Sie „Mit einem Verzeichnisserver verbunden“ aus und klicken Sie dann
auf „Fortfahren“.
7 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie
dann auf „Fortfahren“.
8 Wenn der Server ein Open Directory-Master war und Sie sicher sind, dass Benutzer
und Dienste keinen Zugriff auf die Verzeichnisdaten mehr benötigen, die in der bisher
vom Server bereitgestellten gemeinsam genutzten Domain gespeichert sind, klicken
Sie auf „Schließen“.
9 Klicken Sie auf die Taste „Verzeichnisdienste öffnen“, um den Zugriff auf mindestens ein
Verzeichnissystem zu konfigurieren.
Weitere Informationen zum Konfigurieren des Zugriffs auf eine bestimmte Art von
Verzeichnisdienst finden Sie in Kapitel 7 „Verwalten von Verzeichnis-Clients“.
Wenn Sie Mac OS X Server 10.4 (oder neuer) mit einer Verzeichnis-Domain von
Mac OS X Server 10.3 (oder älter) verbinden, können Benutzer, die in der älteren Verzeichnis-Domain definiert wurden, nicht mit der NTLMv2-Methode identifiziert werden. Diese Methode kann erforderlich sein, um einige Windows-Benutzer sicher für
die Windows-Dienste von Mac OS X Server 10.4 (oder neuer) zu identifizieren.
Der Open Directory-Kennwortserver in Mac OS X Server 10.4 (oder neuer) unterstützt
die NTLMv2-Identifizierung, NTLMv2 wird vom Kennwortserver in Mac OS X Server 10.3
(oder älter) jedoch nicht unterstützt.
Wenn Sie Mac OS X Server 10.4 (oder neuer) für den Zugriff auf eine Verzeichnis-Domain
unter Mac OS X Server 10.2 (oder älter) konfigurieren, müssen Sie beachten, dass in der
älteren Verzeichnis-Domain definierte Benutzer nicht mit der Methode „MS-CHAPv2“
identifiziert werden können. Diese Methode kann erforderlich sein, um Benutzer sicher
für den VPN-Dienst von Mac OS X Server 10.4 (oder neuer) zu identifizieren.
Open Directory in Mac OS X Server 10.4 unterstützt die Identifizierung mit MS-CHAPv2,
der Kennwortserver in Mac OS X Server 10.2 unterstützt MS-CHAPv2 jedoch nicht.
10 Wenn der zu konfigurierende Server Zugriff auf ein Verzeichnissystem hat, das auch einen
Kerberos-Realm bereitstellt, können Sie den Server dem Kerberos-Realm hinzufügen. 108 Kapitel 5 Konfigurieren von Open Directory-Diensten Für das Hinzufügen zum Kerberos-Realm benötigen Sie den Namen und das Kennwort
eines Kerberos-Administrators oder eines Benutzers mit entsprechender Berechtigung.
Weitere Informationen hierzu finden Sie im Abschnitt „Hinzufügen eines Servers zu
einem Kerberos-Realm“ auf Seite 118. Konfigurieren eines Servers als Domain-Mitglied des
Mac OS X Server-PDCs
Mithilfe des Programms „Server-Admin“ können Sie Mac OS X Server für den Beitritt zu
einer Windows-Domain konfigurieren, die von einem Mac OS X Server-PDC bereitgestellt wird. Ein einer Windows-Domain beigetretener Server kann Datei-, Druck- und
weitere Dienste für Benutzer bereitstellen, die über Accounts auf dem PDC verfügen.
Der Domain-Mitgliedsserver ruft Identifizierungsdienste vom PDC oder von einem
Sicherungs-Domain-Controller ab. Der Server kann Benutzerprofile und Benutzerordner für Benutzer bereitstellen, die über Benutzer-Accounts auf dem PDC verfügen.
Der Domain-Mitgliedsserver stellt keine Identifizierungsdienste für andere DomainMitgliedsserver bereit.
Gehen Sie wie folgt vor, um Mac OS X Server der Windows-Domain eines Mac OS X
Server-PDCs hinzuzufügen:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „SMB“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“.
5 Wählen Sie „Domänenmitglied“ aus dem Einblendmenü „Funktion“ aus und geben Sie
dann Folgendes ein:
 Beschreibung: Diese Beschreibung wird im Fenster „Netzwerkumgebung“ von
Windows XP und Windows 2000 angezeigt und ist optional.
 Computername: Geben Sie den Namen ein, der Windows-Benutzern angezeigt werden soll, wenn sie eine Verbindung zum Server herstellen. Hierbei handelt es sich
um den NetBIOS-Namen des Servers. Der Name darf nicht länger als 15 Zeichen
sein und darf keine Sonderzeichen oder Satzzeichen enthalten.
Passen Sie den Servernamen ggf. an seinen nicht qualifizierten DNS-Hostnamen an.
Wird Ihr Server auf dem DNS-Server beispielsweise mit „server.beispiel.com“ bezeichnet, nennen Sie Ihren Server „server“.
 Domäne: Geben Sie den Namen der Windows-Domain ein, der der Server beitritt. Die
Domain muss von einem Mac OS X Server-PDC bereitgestellt werden. Der Name darf
maximal 15 Zeichen lang sein und kann nicht „workgroup“ lauten. Kapitel 5 Konfigurieren von Open Directory-Diensten 109 6 Klicken Sie auf „Sichern“.
7 Geben Sie den Namen und das Kennwort eines LDAP-Verzeichnisadministrator-Accounts
ein und klicken Sie dann auf „OK“.
Bei der Identifizierung müssen Sie einen LDAP-Verzeichnisadministrator-Account verwenden. Es ist nicht möglich, für den Beitritt zu einer Windows-Domain einen lokalen
Administrator-Account zu verwenden, etwa den primären Serveradministrator-Account
(Benutzer-ID 501).
Nach dem Einrichten eines Windows-Domain-Mitglieds können Sie die Zugriffsbeschränkungen, die Detailstufe für Anmeldungen, die Code-Seite, das Durchsuchen
von Domains oder die WINS-Registrierung ändern. Danach können Sie nicht aktive
Windows-Dienste starten.
Weitere Informationen hierzu finden Sie im Handbuch Netzwerkdienste – Administration. Konfigurieren eines Servers als Active Directory-Domain-Mitglied
Mithilfe der Programme „Server-Admin“ und „Verzeichnisdienste“ können Sie Mac OS X
Server für den Beitritt zu einer Active Directory-Domain konfigurieren, die von einem
Windows 2000- oder Windows 2003-Server bereitgestellt wird.
Ein einer Active Directory-Domain beigetretener Server kann Datei-, Druck- und
andere Dienste für Benutzer bereitstellen, die über Accounts in der Active DirectoryDomain verfügen.
Der Domain-Mitgliedsserver erhält Identifizierungsdienste von Active Directory. Der
Domain-Mitgliedsserver stellt keine Identifizierungsdienste für andere Domain-Mitgliedsserver bereit.
Gehen Sie wie folgt vor, um Mac OS X Server der Active Directory-Domain eines
Windows-Servers hinzuzufügen:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“.
5 Klicken Sie auf „Ändern“.
Der Konfigurationsassistent für Dienste wird geöffnet.
6 Wählen Sie „Mit einem Verzeichnisserver verbunden“ aus und klicken Sie dann
auf „Fortfahren“.
7 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie
dann auf „Fortfahren“.
8 Klicken Sie auf „Schließen“.
9 Klicken Sie auf „Verzeichnisdienste öffnen“. 110 Kapitel 5 Konfigurieren von Open Directory-Diensten 10 Klicken Sie auf das Schloss in der unteren linken Ecke des Programms „Verzeichnisdienste“ und identifizieren Sie sich, wenn Sie dazu aufgefordert werden.
11 Klicken Sie auf „Erweiterte Einstellungen einblenden“.
12 Klicken Sie auf „Verzeichnisserver“ (oben im Fenster).
13 Klicken Sie auf die Taste „Hinzufügen“ (+).
14 Wählen Sie aus dem Einblendmenü „Ein neues Verzeichnis hinzufügen vom Typ“ die
Option „Active Directory“ aus und geben Sie dann Folgendes ein:
 Active Directory-Domain: Hierbei handelt es sich um den DNS-Namen oder die
IP-Adresse des Active Directory-Servers.
 Computer-ID: Bearbeiten Sie ggf. die ID, die Active Directory für Ihren Server verwenden soll. Hierbei handelt es sich um den NetBIOS-Namen des Servers. Der Name darf
nicht länger als 15 Zeichen sein und darf keine Sonderzeichen oder Satzzeichen enthalten. Passen Sie den Servernamen ggf. an seinen nicht qualifizierten DNS-Hostnamen an. Wird Ihr Server auf dem DNS-Server beispielsweise mit „server.beispiel.com“
bezeichnet, nennen Sie Ihren Server „server“.
 AD-Administrator-Benutzername und -Kennwort: Geben Sie den Benutzernamen und
das Kennwort des Active Directory-Administrators ein.
15 Klicken Sie auf „OK“ und schließen Sie das Programm „Verzeichnisdienste“.
16 Klicken Sie auf „Kerberos-Eintrag hinzufügen“, um den Server dem Active DirectoryKerberos-Realm hinzuzufügen.
17 Geben Sie die folgenden Informationen ein:
 Administratorname: Geben Sie den Benutzernamen des Kerberos-Serveradministrators ein.
 Kennwort: Geben Sie das Kennwort des Kerberos-Serveradministrators ein.
 Realm-Name: Geben Sie den Realm-Namen des Kerberos-Servers ein.
 DNS/Bonjour-Name des KDC: Geben Sie den DNS- oder Bonjour-Namen des KerberosServers ein.
18 Klicken Sie auf „OK“.
19 Wählen Sie „SMB“ in der Liste der Dienste aus.
20 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“.
21 Prüfen Sie, ob der Server jetzt ein Mitglied der Active Directory-Domain ist.
Die optionale Beschreibung des Servers, die im Fenster „Netzwerkumgebung“ von
Windows-Computern angezeigt, kann geändert werden.
Nach dem Konfigurieren eines Active Directory-Domain-Mitglieds empfiehlt es sich,
die Zugriffsbeschränkungen, die Detailstufe für Anmeldungen, die Code-Seite, das
Durchsuchen von Domains oder die WINS-Registrierung zu ändern. Danach können
Sie Windows-Dienste starten, die noch nicht aktiv sind. Weitere Informationen hierzu
finden Sie im Handbuch Netzwerkdienste – Administration. Kapitel 5 Konfigurieren von Open Directory-Diensten 111 Konfigurieren der Kerberos-Identifizierung mit
Gesamtauthentifizierung
Folgende drei Aufgaben sind beim Konfigurieren der Kerberos-Identifizierung für
die Gesamtauthentifizierung auszuführen:
 DNS muss im Netzwerk verfügbar gemacht und so konfiguriert werden, dass der
vollständig qualifizierte DNS-Name des Open Directory-Master-Servers (oder eines
anderen Kerberos-Servers) zur zugehörigen IP-Adresse aufgelöst wird. Zudem muss
DNS so konfiguriert sein, dass die IP-Adresse in den vollständig qualifizierten DNSNamen des Servers aufgelöst werden kann.
 Ein Administrator muss ein Verzeichnissystem für das Bereitstellen eines KerberosRealms konfigurieren. Weitere Informationen zum Konfigurieren von Mac OS X
Server für das Bereitstellen eines Kerberos-Realms finden Sie im Abschnitt „Konfigurieren eines Open Directory-Kerberos-Realms“ auf Seite 113.
 Ein Kerberos-Administrator eines Open Directory-Masters kann die Berechtigung für
das Hinzufügen von Servern zum Kerberos-Realm des Open Directory-Masters delegieren. (Der Administrator benötigt keine delegierte Berechtigung. Ein Kerberos-Administrator besitzt bereits die Berechtigung, einen beliebigen Server zum Kerberos-Realm
hinzuzufügen.) Näheres hierzu finden Sie im Abschnitt „Delegieren der Berechtigung
zum Hinzufügen eines Objekts zu einem Open Directory-Kerberos-Realm“ auf Seite 115.
 Ein Kerberos-Administrator oder Benutzer mit delegierten Berechtigungen müssen
dem Kerberos-Realm Server hinzufügen. Der Kerberos-Realm stellt dann die KerberosIdentifizierung für die Gesamtauthentifizierung für Dienste bereit, die von den hinzugefügten Servern zur Verfügung gestellt werden. Weitere Informationen hierzu finden
Sie im Abschnitt „Hinzufügen eines Servers zu einem Kerberos-Realm“ auf Seite 118.
 Alle Computer, die Kerberos verwenden, müssen auf das korrekte Datum sowie die
korrekte Uhrzeit und Zeitzone eingestellt werden. Außerdem müssen sie für die Verwendung desselben Netzwerk-Zeitservers konfiguriert werden. Kerberos ist darauf
angewiesen, dass die Systemuhren aller beteiligten Computer synchron sind.
Stellen Sie beim Konfigurieren eines Open Directory-Masters sicher, dass Ihr DNS korrekt
konfiguriert und aktiv ist, bevor Sie den Open Directory-Dienst zum ersten Mal starten.
Wenn DNS beim Starten von Open Directory nicht korrekt konfiguriert oder nicht aktiv
ist, funktioniert Kerberos nicht einwandfrei.
Wenn Open Directory zum ersten Mal gestartet wird, verwendet Kerberos den DNSDienst, um Konfigurationseinstellungen zu generieren. Ist Ihr DNS-Server nicht verfügbar, wenn Kerberos erstmals gestartet wird, sind die zugehörigen Konfigurationen ungültig und Kerberos arbeitet nicht korrekt. Wenn Kerberos aktiv ist und seine
Konfigurationsdatei generiert hat, hängt es nicht mehr vom DNS-Dienst ab, sodass
sich DNS-Änderungen nicht auf Kerberos auswirken.
Die einzelnen Dienste von Mac OS X Server erfordern keine Konfiguration für die
Gesamtauthentifizierung oder für Kerberos. 112 Kapitel 5 Konfigurieren von Open Directory-Diensten Die folgenden Dienste sind für die Kerberos-Identifizierung für die Gesamtauthentifizierung auf jedem Server mit Mac OS X Server 10.5 (oder neuer) bereit, der ein Open
Directory-Master bzw. eine Open Directory-Replik ist oder einem solchen Master bzw.
einer Replik hinzugefügt wurde:
 Anmeldefenster
 Mail-Dienst
 AFP
 FTP
 SMB (als Mitglied eines Active Directory-Kerberos-Realms)
 iChat
 Druckdienst
 NFS
 Xgrid-Dienst
 VPN
 Apache-Webdienst
 LDAPv3-Verzeichnisdienst (auf einem Open Directory-Master oder einer Replik). Konfigurieren eines Open Directory-Kerberos-Realms
Sie können die Kerberos-Identifizierung für eine Gesamtauthentifizierung in Ihrem Netzwerk durch Konfigurieren eines Open Directory-Masters bereitstellen.
Sie können einen Open Directory-Master während der Erstkonfiguration einrichten, die
auf die Installation von Mac OS X Server folgt. Wenn Sie Mac OS X Server aber mit einer
anderen Open Directory-Funktion konfigurieren, können Sie die zugehörige Funktion
mithilfe des Programms „Server-Admin“ in die eines Open Directory-Masters ändern.
Weitere Informationen hierzu finden Sie in den Abschnitten „Konfigurieren eines Open
Directory-Masters“ auf Seite 95 und „Starten von Kerberos nach der Konfiguration eines
Open Directory-Masters“ auf Seite 114.
Ein Server, der ein Open Directory-Master ist, erfordert keine weitere Konfiguration, um
die Kerberos-Identifizierung für die Gesamtauthentifizierung für kerberisierte Dienste
zu unterstützen, die vom Server bereitgestellt werden.
Der Server kann die Kerberos-Identifizierung für die Gesamtauthentifizierung auch für
kerberisierte Dienste anderer Server im Netzwerk unterstützen. Die anderen Server
müssen so konfiguriert werden, dass sie zum Open Directory-Kerberos-Realm hinzugefügt werden können.
Weitere Informationen finden Sie in den Abschnitten „Delegieren der Berechtigung zum
Hinzufügen eines Objekts zu einem Open Directory-Kerberos-Realm“ auf Seite 115 und
„Hinzufügen eines Servers zu einem Kerberos-Realm“ auf Seite 118. Kapitel 5 Konfigurieren von Open Directory-Diensten 113 Wichtig: Ein Open Directory-Master erfordert einen korrekt konfigurierten DNS-Dienst,
damit er die Kerberos- und die Gesamtauthentifizierung bereitstellen kann. Zusätzlich
gilt Folgendes:
 Der DNS-Dienst muss so konfiguriert werden, dass die vollständig qualifizierten DNSNamen aller Server (einschließlich des Open Directory-Masters) in die zugehörigen
IP-Adressen aufgelöst werden und dass eine entsprechende RLU-Auflösung bereitgestellt wird. Weitere Informationen zum Konfigurieren des DNS-Diensts finden Sie
im Handbuch Netzwerkdienste – Administration.
 Die Systemeinstellung „Netzwerk“ des Open Directory-Master-Servers muss für die
Verwendung des DNS-Servers konfiguriert sein, der den Servernamen auflöst. (Wenn
der Open Directory-Master-Server seinen eigenen DNS-Dienst bereitstellt, muss dessen Systemeinstellung „Netzwerk“ so konfiguriert sein, dass der Server sich selbst als
DNS-Server verwendet.) Starten von Kerberos nach der Konfiguration eines
Open Directory-Masters
Wird Kerberos nicht gestartet, nachdem Sie einen Open Directory-Master konfiguriert
haben, können Sie den Dienst mithilfe des Programms „Server-Admin“ manuell starten.
Zuerst müssen Sie jedoch das Problem beheben, das den Kerberos-Start verhindert hat.
Gewöhnlich besteht das Problem darin, dass der DNS-Dienst nicht korrekt konfiguriert
wurde oder nicht aktiv ist.
Hinweis: Nachdem Sie Kerberos manuell gestartet haben, müssen Benutzer, deren
Accounts Open Directory-Kennwörter verwenden und die während des KerberosStopps im LDAP-Verzeichnis des Open Directory-Masters erstellt wurden, ihre Kennwörter möglicherweise bei der nächsten Anmeldung ändern. Benutzer-Accounts
sind daher nur betroffen, wenn alle rückführbaren Identifizierungsmethoden für
Open Directory-Kennwörter während des Kerberos-Stopps deaktiviert waren.
Gehen Sie wie folgt vor, um Kerberos auf einem Open Directory-Master manuell
zu starten:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Aktualisieren“ (oder wählen Sie „Darstellung“ > „Aktualisieren“) und überprüfen Sie den Status von Kerberos im Bereich „Übersicht“.
Ist Kerberos gestartet, so sind keine weiteren Schritte erforderlich.
5 Verwenden Sie das Netzwerk-Dienstprogramm (im Ordner „Programme/Dienstprogramme“), um eine DNS-Auflösung des DNS-Namens des Open Directory-Masters
und eine RLU-Auflösung der IP-Adresse auszuführen. 114 Kapitel 5 Konfigurieren von Open Directory-Diensten Gehen Sie wie folgt vor, wenn der DNS-Name oder die IP-Adresse des Servers nicht
korrekt aufgelöst wird:
 Prüfen Sie in der Systemeinstellung „Netzwerk“ die TCP/IP-Einstellungen für die
primäre Netzwerkschnittstelle des Servers (gewöhnlich integriertes Ethernet). Vergewissern Sie sich, dass der erste aufgeführte DNS-Server auch den Namen des
Open Directory-Servers auflöst.
 Überprüfen Sie die Konfiguration des DNS-Diensts und stellen Sie sicher, dass der
Dienst aktiv ist.
6 Wählen Sie im Programm „Server-Admin“ den Dienst „Open Directory“ für den MasterServer aus. Klicken Sie dann auf „Einstellungen“ und anschließend auf „Allgemein“.
7 Klicken Sie auf „Kerberos-Eintrag hinzufügen“ und geben Sie anschließend die folgenden Informationen ein:
 Administratorname und Kennwort: Sie müssen sich als Administrator des LDAP-Verzeichnisses des Open Directory-Masters identifizieren.
 Realm-Name: Dieses Feld entspricht aufgrund der Voreinstellung dem DNS-Namen des
Servers in Großbuchstaben. Hierbei handelt es sich um die Konvention bei der Benennung eines Kerberos-Realms. Sie können bei Bedarf einen anderen Namen eingeben. Delegieren der Berechtigung zum Hinzufügen eines Objekts zu einem
Open Directory-Kerberos-Realm
Mithilfe des Programms „Server-Admin“ können Sie die Berechtigung zum Hinzufügen
eines Servers zu einem Open Directory-Master-Server zur Kerberos-Identifizierung für
die Gesamtauthentifizierung delegieren.
Sie können die Berechtigung einem oder mehreren Benutzer-Accounts übertragen. Die
Benutzer-Accounts, an die Sie Berechtigungen delegieren, müssen den Kennworttyp
„Open Directory“ aufweisen und sich im LDAP-Verzeichnis des Open Directory-MasterServers befinden. Auf dem abhängigen Server, für den Sie Berechtigungen delegieren,
muss Mac OS X Server 10.3 (oder neuer) installiert sein.
Hinweis: Wenn ein Account mit delegierter Kerberos-Berechtigung auf dem Open
Directory-Master-Server gelöscht und erneut erstellt wird, besitzt der neue Account
keine Berechtigung, den abhängigen Server zum Kerberos-Realm des Open DirectoryMasters hinzuzufügen.
Ein Kerberos-Administrator (d. h. ein Open Directory-LDAP-Administrator) benötigt keine
delegierte Berechtigung, um abhängige Server zum Open Directory-Kerberos-Realm hinzuzufügen. Ein Kerberos-Administrator besitzt bereits die Berechtigung, einen beliebigen
Server zum Kerberos-Realm hinzuzufügen. Kapitel 5 Konfigurieren von Open Directory-Diensten 115 Gehen Sie wie folgt vor, um die Berechtigung zum Hinzufügen eines Objekts zu
einem Open Directory-Kerberos-Realm zu delegieren:
1 Erstellen Sie im Arbeitsgruppenmanager eine Computergruppe in der LDAP-VerzeichnisDomain des Open Directory-Master-Servers oder wählen Sie eine vorhandene Computergruppe in diesem Verzeichnis aus:
 Zum Auswählen einer vorhandenen Computergruppe klicken Sie auf „Accounts“ oder
wählen Sie „Ansicht“ > „Accounts“. Klicken Sie dann auf die Taste „Computergruppe“
(über der Liste der Accounts) und wählen Sie die Computergruppe aus, die verwendet werden soll.
 Wenn der LDAP-Server keine Computergruppe hat, der Sie den abhängigen Server
hinzufügen wollen, können Sie eine Computergruppe erstellen:
Klicken Sie zuerst auf „Accounts“ und dann auf die Taste „Computer“ (über der Liste
der Accounts).
Klicken Sie auf das kleine Kugelsymbol über der Account-Liste und öffnen Sie das
LDAP-Verzeichnis des Open Directory-Masters über das Einblendmenü.
Klicken Sie auf das Schlosssymbol und identifizieren Sie sich als Administrator des
LDAP-Verzeichnisses.
Klicken Sie zuerst auf die Taste „Computergruppe“ (über der Liste der Accounts) und
dann auf „Neue Computergruppe“. Oder wählen Sie „Server“ > „Neue Computergruppe“.
Geben Sie einen Namen ein (wie z. B. „Kerberisierte Server“).
2 Klicken Sie zuerst auf „Mitglieder“, dann auf die Taste „Hinzufügen“ (+) und wählen Sie
die gewünschten Mtglieder aus.
3 Klicken Sie auf „Sichern“, um Ihre Änderungen an der Computergruppe zu sichern.
4 Klicken Sie auf „Einstellungen“ und stellen Sie sicher, dass für die Computergruppe
keine verwalteten Einstellungen verwendet werden.
Wenn das Symbol eines Objekts in der Tabelle der Einstellungskategorien mit einem
kleinen Pfeil versehen ist, gibt es für das Objekt verwaltete Einstellungen. Klicken Sie
zum Löschen der verwalteten Einstellungen eines Objekts zunächst auf das Objekt.
Wählen Sie „Verwalten: Nie“ aus und klicken Sie auf „Jetzt anwenden“. Wenn das Objekt
mehrere Realms umfasst, müssen Sie in jedem Realm „Verwalten: Nie“ auswählen und
auf „Jetzt anwenden“ klicken.
5 Wenn Sie Kerberos-Berechtigungen an mindestens einen Benutzer-Account delegieren
wollen, müssen Sie den Account bzw. die Accounts erstellen:
 Vergewissern Sie sich, dass Sie im LDAP-Verzeichnis des Open Directory-Master-Servers
arbeiten. Klicken Sie gegebenenfalls auf das kleine Kugelsymbol und verwenden Sie
das Einblendmenü zum Öffnen dieses Verzeichnisses. Klicken Sie dann auf das Schlosssymbol und identifizieren Sie sich als Administrator dieses Verzeichnisses.
 Klicken Sie auf „Benutzer“ (auf der linken Seite). Klicken Sie dann auf „Neuer Benutzer“
oder wählen Sie „Server“ > „Neuer Benutzer“. 116 Kapitel 5 Konfigurieren von Open Directory-Diensten  Geben Sie einen Namen, Kurznamen und ein Kennwort ein.
 Vergewissern Sie sich, dass die Optionen „Benutzer darf: Auf den Account zugreifen“
oder „Benutzer darf: Diesen Server verwalten“ nicht ausgewählt sind.
Sie können in weiteren Bereichen Einstellungen ändern. Ändern Sie jedoch nicht den
Typ in der Einstellung „Benutzerkennwort“ im Bereich „Erweitert“. Ein Benutzer mit
delegierter Kerberos-Berechtigung muss ein Open Directory-Kennwort besitzen.
6 Klicken Sie auf „Sichern“, um den neuen Benutzer-Account zu sichern.
7 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open
Directory-Master-Server her.
8 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
9 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
10 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“.
11 Stellen Sie sicher, dass „Open Directory-Master“ für „Funktion“ festgelegt ist, klicken Sie
dann auf „Kerberos-Eintrag hinzufügen“ und geben Sie anschließend die folgenden
Informationen ein:
 Administratorname: Geben Sie den Namen eines LDAP-Verzeichnisadministrators für
den Open Directory-Master-Server ein.
 Administratorkennwort: Geben Sie das Kennwort des angegebenen AdministratorAccounts ein.
 Konfigurationseintragsname: Geben Sie den vollständig qualifizierten DNS-Namen so
ein, wie Sie ihn in Schritt 2 beim Hinzufügen des abhängigen Servers zur Computergruppe angegeben haben.
 Delegierte Administratoren: Geben Sie einen Kurznamen oder einen langen Namen
für jeden Benutzer-Account ein, dem Sie Kerberos-Berechtigungen für den angegebenen Server übertragen möchten. Ziehen Sie in Betracht, wenigstens zwei Namen
einzugeben, um Probleme zu vermeiden, falls dieser Benutzer-Account in Zukunft
gelöscht wird.
12 Klicken Sie zuerst auf „Hinzufügen“ und dann auf „Sichern“, um Kerberos-Berechtigungen
wie angegeben zu delegieren.
Wenn Sie für mehrere abhängige Server Berechtigungen delegieren wollen, müssen Sie
diese Schritte für jeden Server wiederholen.
Weitere Informationen für den Beitritt eines Servers zu einem Open Directory-KerberosRealm finden Sie im Abschnitt „Hinzufügen eines Servers zu einem Kerberos-Realm“ auf
Seite 118. Kapitel 5 Konfigurieren von Open Directory-Diensten 117 Hinzufügen eines Servers zu einem Kerberos-Realm
Mithilfe des Programms „Server-Admin“ kann ein Kerberos-Administrator oder ein
Benutzer, dessen Account über die korrekt delegierte Berechtigung verfügt, Mac OS X
Server zu einem Kerberos-Realm hinzufügen.
Der Server kann nur zu jeweils einem Kerberos-Realm hinzugefügt werden. Hierbei kann
es sich um einen Open Directory-Kerberos-Realm, einen Active Directory-Kerberos-Realm
oder einen vorhandenen, auf MIT Kerberos basierenden Realm handeln.
Sie benötigen einen Kerberos-Administrator-Account oder einen Benutzer-Account
mit delegierter Kerberos-Berechtigung, um einen Server zu einem Open DirectoryKerberos-Realm hinzufügen zu können. Weitere Informationen hierzu finden Sie im
Abschnitt „Delegieren der Berechtigung zum Hinzufügen eines Objekts zu einem
Open Directory-Kerberos-Realm“ auf Seite 115.
Gehen Sie wie folgt vor, um einen Server zu einem Kerberos-Realm hinzuzufügen:
1 Stellen Sie sicher, dass der Server, der dem Kerberos-Realm hinzugefügt werden soll, für
den Zugriff auf die gemeinsam genutzte Verzeichnis-Domain des Kerberos-Servers konfiguriert ist.
Öffnen Sie hierzu das Programm „Verzeichnisdienste“ auf dem Server, der dem KerberosRealm hinzugefügt werden soll, oder stellen Sie über das Programm „Verzeichnisdienste“
auf einem anderen Computer eine Verbindung zu dem Server her. Klicken Sie zuerst auf
„Suchpfad“, dann auf „Identifizierung“ und vergewissern Sie sich, dass die VerzeichnisDomain des Kerberos-Servers in der Liste aufgeführt ist. Ist sie nicht aufgeführt, lesen Sie
die Anleitungen in Kapitel 7 „Verwalten von Verzeichnis-Clients“ zum Konfigurieren des
Zugriffs auf das Verzeichnis.
2 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zu dem Server
her, der dem Kerberos-Realm hinzugefügt werden soll.
3 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
4 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
5 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“.
6 Vergewissern Sie sich, dass „Mit einem Verzeichnisserver verbunden“ für „Funktion“
angegeben ist, klicken Sie auf „Kerberos-Eintrag hinzufügen“ und geben Sie dann die
folgenden Informationen ein:
 Für einen Open Directory-Kerberos-Realm oder einen Active Directory-KerberosRealm wählen Sie den Realm aus dem Einblendmenü aus und geben den Namen
und das Kennwort eines Kerberos-Administrator bzw. eines Benutzers mit delegierten Kerberos-Berechtigungen für den Server ein.
 Für einen MIT-basierten Kerberos-Realm geben Sie den Namen und das Kennwort
eines Kerberos-Administrators, den Namen des Kerberos-Realms und den DNSNamen des Kerberos-KDC-Servers ein.
118 Kapitel 5 Konfigurieren von Open Directory-Diensten 6 Verwalten der Daten für die
Benutzeridentifizierung 6 In diesem Kapitel wird beschrieben, wie Sie Benutzerkennwörter zurücksetzen, Kennworttypen ändern, Kennwortrichtlinien
festlegen, Identifizierungsmethoden auswählen und andere
Aufgaben mit dem Arbeitsgruppenmanager ausführen.
Der Arbeitsgruppenmanager bietet eine zentralisierte Methode zum Verwalten von
Mac OS X-Computern für die Zugriffssteuerung auf Software und Wechselmedien
und für die Bereitstellung einer konsistenten Umgebung für verschiedene Benutzer.
Sie verwenden den Arbeitsgruppenmanager auch für die Verwaltung der Einstellungen für die Benutzeridentifizierung. Weitere Informationen zum Arbeitsgruppenmanager finden Sie im Handbuch Benutzerverwaltung.
Sie können die Informationen für die Identifizierung von Benutzern verwalten, die in
Verzeichnis-Domains abgelegt sind. Aufgabenbeschreibungen und Anleitungen finden
Sie an folgenden Stellen:
 „Definieren eines Kennworts“ auf Seite 120
 „Ändern des Kennworts eines Benutzers“ auf Seite 121
 „Zurücksetzen der Kennwörter mehrerer Benutzer“ auf Seite 122
 „Ändern des Kennworttyps eines Benutzers“ auf Seite 123
Dies umfasst das Ändern des Kennworttyps zu „Open Directory“, „Shadow“-Kennwort
oder „Crypt“-Kennwort und Aktivieren von Kerberos für die Gesamtauthentifizierung.
 „Aktivieren der Kerberos-Identifizierung mit Gesamtauthentifizierung für einen
Benutzer“ auf Seite 127
 „Ändern der globalen Kennwortrichtlinie“ auf Seite 127
 „Festlegen von Kennwortrichtlinien für einzelne Benutzer“ auf Seite 128
 „Auswählen von Identifizierungsmethoden für Benutzer von „Shadow“-Kennwörtern“
auf Seite 130 119 Â „Auswählen von Identifizierungsmethoden für Open Directory-Kennwörter“ auf
Seite 131
 „Zuweisen von Administratorrechten für die Open Directory-Identifizierung“ auf
Seite 132
 „Synchronisieren der Kennwörter des primären Administrators“ auf Seite 133
 „Aktivieren der identifizierten LDAP-Verzeichnisbindung für einen Benutzer“ auf
Seite 133
 „Einstellen von Kennwörtern von exportierten oder importierten Benutzer-Accounts“
auf Seite 134
 „Umstellen von Kennwörtern von Mac OS X Server 10.1 (oder älter)“ auf Seite 135 Definieren eines Kennworts
Das dem Account eines Benutzers zugeordnete Kennwort muss vom Benutzer bei der
Identifizierung für die Anmeldung oder für andere Dienste eingegeben werden. Beim
Kennwort (außer bei SMB LAN Manager-Kennwörtern) wird zwischen Groß-/Kleinschreibung unterschieden, und es wird bei der Eingabe auf dem Bildschirm maskiert.
Unabhängig von dem für einen Benutzer gewählten Kennworttyp finden Sie nachfolgend Richtlinien zum Erstellen eines Kennworts für Mac OS X Server-Benutzer-Accounts:
 Verwenden Sie für ein Kennwort eine Kombination aus Buchstaben, Ziffern und
Symbolen, die für unbefugte Benutzer nur schwer zu erraten ist. Kennwörter sollten nicht aus Wörtern bestehen. Gute Kennwörter enthalten Ziffern und Symbole
(etwa # oder $) oder bestehen aus dem ersten Buchstaben jedes Worts in einem
Satz. Verwenden Sie sowohl Groß- als auch Kleinbuchstaben.
 Vermeiden Sie Leerzeichen und Tastenkombinationen mit der Wahltaste.
 Vermeiden Sie Zeichen, die nicht auf Computern eingegeben werden können, die
der Benutzer verwendet, oder die zur richtigen Eingabe eine spezielle Tastenkombination auf verschiedenen Tastaturen und Plattformen erfordern.
 Manche Netzwerkprotokolle unterstützen Kennwörter nicht, die führende Leerzeichen, eingebettete Leerzeichen oder nachgestellte Leerzeichen enthalten.
 Ein Kennwort mit null Zeichen wird nicht empfohlen. Open Directory und einige
Systeme (wie die LDAP-Verzeichnisbindung) unterstützen ein Kennwort mit null
Zeichen nicht.
 Für größtmögliche Kompatibilität mit Computern und Diensten, auf die Ihre Benutzer ggf. zugreifen, sollten Sie nur ASCII-Zeichen für Kennwörter verwenden. 120 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Ändern des Kennworts eines Benutzers
Mit dem Arbeitsgruppenmanager können Sie das Kennwort eines in einer beliebigen
Verzeichnis-Domain definierten Benutzer-Accounts ändern, für den Sie Lese- und Schreibzugriff besitzen. Sie können damit z. B. das Kennwort eines Benutzer-Accounts im LDAPVerzeichnis eines Open Directory-Masters ändern.
Wichtig: Wenn Sie das Kennwort eines Benutzer-Accounts ändern, der zur Identifizierung einer LDAP-Verzeichnisverbindung eines Computers genutzt wird, müssen Sie
dieselbe Änderung an den LDAP-Verbindungseinstellungen des betreffenden Computers vornehmen oder das LDAP-Verzeichnis und alle Verbindungen damit für die Verwendung einer vertrauenswürdigen Bindung konfigurieren.
Weitere Informationen hierzu finden Sie in den Abschnitten „Ändern des Kennworts
für die Identifizierung einer LDAP-Verbindung“ auf Seite 181 oder „Festlegen einer
Bindungsrichtlinie für einen Open Directory-Server“ auf Seite 217 und „Stoppen der
vertrauenswürdigen Bindung zu einem LDAP-Verzeichnis“ auf Seite 177.
Gehen Sie wie folgt vor, um das Kennwort eines Benutzers zu ändern:
1 Öffnen Sie den Arbeitsgruppenmanager, klicken Sie auf die Taste „Accounts“ und dann
auf die Taste „Benutzer“.
2 Öffnen Sie die Verzeichnis-Domain, die den Benutzer-Account enthält, dessen Kennwort
Sie ändern wollen, und identifizieren Sie sich als Administrator der Domain.
Klicken Sie zum Öffnen einer Verzeichnis-Domain auf das kleine Kugelsymbol über der
Benutzerliste und wählen Sie die entsprechende Option aus dem Einblendmenü aus.
Wenn der Kennworttyp des Benutzers „Open Directory“ ist, müssen Sie sich als ein
Administrator identifizieren, dessen Kennworttyp „Open Directory“ ist.
3 Wählen Sie den Account aus, dessen Kennwort geändert werden muss.
4 Geben Sie ein Kennwort im Bereich „Allgemein“ ein. Klicken Sie dann auf „Sichern“.
5 Teilen Sie dem Benutzer das neue Kennwort mit, sodass er sich anmelden kann.
Nachdem sich der Benutzer bei Mac OS X mit dem neuen Kennwort angemeldet hat,
kann er das Kennwort in der Systemeinstellung „Benutzer“ ändern.
Wenn Sie das Kennwort eines Accounts ändern, dessen Kennworttyp „Open Directory“
lautet und sich der Account im LDAP-Verzeichnis einer Open Directory-Replik oder eines
Open Directory-Servers befindet, wird die Änderung mit dem Master und dessen Repliken synchronisiert. Mac OS X Server synchronisiert Änderungen an Open Directory-Kennwörtern zwischen einem Master und dessen Repliken. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 121 Zurücksetzen der Kennwörter mehrerer Benutzer
Mit dem Arbeitsgruppenmanager können Sie mehrere Benutzer-Accounts gleichzeitig
auswählen und so ändern, dass sie denselben Kennworttyp und dasselbe temporäre
Kennwort verwenden.
Gehen Sie wie folgt vor, um den Kennworttyp und das Kennwort mehrerer BenutzerAccounts zu ändern:
1 Öffnen Sie den Arbeitsgruppenmanager, klicken Sie auf die Taste „Accounts“ und dann
auf die Taste „Benutzer“.
2 Öffnen Sie die Verzeichnis-Domain, die den Benutzer-Account enthält, dessen Kennworttypen und Kennwörter Sie zurücksetzen wollen, und identifizieren Sie sich als Administrator der Domain.
Klicken Sie zum Öffnen einer Verzeichnis-Domain auf das kleine Kugelsymbol über der
Benutzerliste und wählen Sie die entsprechende Option aus dem Einblendmenü aus.
Wenn Sie den Kennworttyp „Open Directory“ festlegen wollen, müssen Sie sich als ein
Administrator identifizieren, dessen Kennworttyp „Open Directory“ ist.
3 Klicken Sie bei gedrückter Befehlstaste oder Umschalttaste auf Benutzer-Accounts, um
Accounts auszuwählen, deren Kennworttyp geändert werden muss.
4 Geben Sie ein Kennwort im Bereich „Allgemein“ ein. Legen Sie dann die Option „Benutzerkennwort“ im Bereich „Erweitert“ fest.
5 Klicken Sie auf „Sichern“.
6 Teilen Sie den Benutzern das temporäre Kennwort mit, sodass sie sich anmelden können.
Nach der Anmeldung mit dem temporären Kennwort kann ein Benutzer das Kennwort
in der Systemeinstellung „Benutzer“ ändern.
Wenn Sie das Kennwort von Accounts ändern, deren Kennworttyp „Open Directory“
lautet und sich die Accounts im LDAP-Verzeichnis einer Open Directory-Replik oder
eines Open Directory-Servers befinden, wird die Änderung mit dem Master und dessen Repliken synchronisiert. Mac OS X Server synchronisiert Änderungen an Open
Directory-Kennwörtern zwischen einem Master und dessen Repliken. 122 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Ändern des Kennworttyps eines Benutzers
Sie können für den Kennworttyp im Bereich „Erweitert“ des Arbeitsgruppenmanagers
eine der folgenden Einstellungen festlegen:
 Open Directory: Aktiviert mehrere traditionelle Identifizierungsmethoden sowie
die Kerberos-Identifizierung per Gesamtauthentifizierung, wenn sich der Account
des Benutzers im LDAP-Verzeichnis eines Open Directory-Masters bzw. einer Open
Directory-Replik befindet. Open Directory-Kennwörter werden getrennt von der
Verzeichnis-Domain in der Datenbank des Open Directory-Kennwortservers und
im Kerberos-KDC gespeichert. Weitere diesbezügliche Informationen finden Sie
im Abschnitt „Ändern des Kennworttyps in „Open Directory““ auf Seite 123.
 „Shadow“-Kennwort: Aktiviert mehrere traditionelle Identifizierungsmethoden für
Benutzer-Accounts in der lokalen Verzeichnis-Domain. „Shadow“-Kennwörter werden separat von der Verzeichnis-Domain in Dateien gespeichert, die nur vom rootBenutzer gelesen werden können. Weitere diesbezügliche Informationen finden
Sie im Abschnitt „Ändern des Kennworttyps in „Shadow“-Kennwort“ auf Seite 126.
 „Crypt“-Kennwort: Ermöglicht eine grundlegende Identifizierung für einen BenutzerAccount in einer gemeinsam genutzten Verzeichnis-Domain. Ein „Crypt“-Kennwort
wird im Eintrag des Benutzer-Accounts in der Verzeichnis-Domain gespeichert. Für
die Anmeldung bei Mac OS X 10.1 (oder älter) wird ein „Crypt“-Kennwort benötigt.
Weitere diesbezügliche Informationen finden Sie im Abschnitt „Ändern des Kennworttyps in „Crypt“-Kennwort“ auf Seite 125. Ändern des Kennworttyps in „Open Directory“
Mithilfe des Arbeitsgruppen-Managers können Sie angeben, dass ein Open DirectoryKennwort für einen Benutzer-Account in sicheren Datenbanken außerhalb der Verzeichnis-Domain gespeichert wird. Benutzer-Accounts in den folgenden VerzeichnisDomains können über Open Directory-Kennwörter verfügen:
 LDAP-Verzeichnis-Domain auf Mac OS X Server 10.3 – 10.5
 Lokale Verzeichnis-Domain von Mac OS X Server 10.3 oder ein von Version 10.3
aktualisierter Server
 Verzeichnis-Domain auf Mac OS X Server 10.2, die für die Verwendung eines Kennwortservers konfiguriert ist
Der Kennworttyp „Open Directory“ unterstützt die Gesamtauthentifizierung mithilfe
der Kerberos-Identifizierung. Außerdem unterstützt er den Open Directory-Kennwortserver, der SASL-Identifizierungsprotokolle (Simple Authentication and Security Layer)
bietet, u. a. APOP, CRAM-MD5, DHX, Digest-MD5, MS-CHAPv2, NTLMv2, NTLM (auch als
Windows NT oder SMB-NT bezeichnet), LAN Manager (LM) und WebDAV-Digest. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 123 Hinweis: Damit Sie den Kennworttyp eines Benutzer-Accounts auf „Open Directory“
setzen können, müssen Sie über Administratorrechte für die Open Directory-Identifizierung in der Verzeichnis-Domain verfügen, die den Benutzer-Account enthält. Dies
bedeutet, dass Sie sich als ein Verzeichnis-Domain-Administrator identifizieren müssen,
dessen Kennworttyp „Open Directory“ ist. Weitere Informationen hierzu finden Sie im
Abschnitt „Zuweisen von Administratorrechten für die Open Directory-Identifizierung“
auf Seite 132.
Gehen Sie wie folgt vor, um festzulegen, dass einem Benutzer-Account ein Open
Directory-Kennwort zugewiesen wird:
1 Vergewissern Sie sich, dass sich der Account des Benutzers in einer Verzeichnis-Domain
befindet, die die Open Directory-Identifizierung unterstützt.
Die Verzeichnis-Domains, die die Open Directory-Identifizierung unterstützten, werden
weiter oben in diesem Kapitel aufgeführt.
2 Öffnen Sie im Arbeitsgruppenmanager den Account, mit dem Sie arbeiten möchten
(falls er noch nicht geöffnet ist).
Klicken Sie zum Öffnen eines Accounts auf die Taste „Accounts“ und dann auf die Taste
„Benutzer“. Klicken Sie auf das kleine Kugelsymbol über der Benutzerliste und wählen
Sie die gewünschte Option aus dem Einblendmenü aus, um die Verzeichnis-Domain
zu öffnen, in der sich der Account des Benutzers befindet. Klicken Sie auf das Schlosssymbol und identifizieren Sie sich als ein Verzeichnis-Domain-Administrator, dessen
Kennworttyp „Open Directory“ ist. Wählen Sie dann den Benutzer in der Liste aus.
3 Klicken Sie auf „Erweitert“.
4 Wählen Sie aus dem Einblendmenü „Benutzerkennwort“ die Option „Open Directory“ aus.
5 Geben Sie bei Aufforderung ein neues Kennwort ein und bestätigen Sie dieses.
Das Kennwort darf höchstens 512 Byte umfassen (maximal 512 Zeichen, je nach Sprache).
Allerdings können durch das Protokoll zur Identifizierung im Netzwerk andere Einschränkungen festgelegt werden, etwa 128 Zeichen für NTLMv2 und NTLM und 14 für LAN
Manager. Im Abschnitt „Definieren eines Kennworts“ auf Seite 120 finden Sie Richtlinien
für die Wahl von Kennwörtern.
6 Klicken Sie im Bereich „Erweitert“ auf „Optionen“, um die Kennwortrichtlinie des Benutzers einzurichten. Klicken Sie auf „OK“, wenn Sie alle gewünschten Optionen festgelegt haben.
Wenn Sie „Anmeldung deaktivieren am“ auswählen, legen Sie das Datum mithilfe der
Pfeiltasten fest.
Wenn Sie eine Option auswählen, für die das Kennwort zurückgesetzt (geändert) werden muss, denken Sie daran, dass nicht alle Protokolle Kennwortänderungen unterstützen. Zum Beispiel können Benutzer ihre Kennwörter nicht ändern, wenn sie sich für den
IMAP-Mail-Dienst identifizieren. 124 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Die Kennwort-ID ist ein eindeutiger 128-Bit-Wert, der zugewiesen wird, wenn das Kennwort in der Datenbank des Open Directory-Kennwortservers erstellt wird. Sie ist u. U. bei
der Fehlerbeseitigung von Nutzen, da sie im Kennwortserver-Protokoll angezeigt wird,
wenn ein Problem auftritt. Weitere Informationen hierzu finden Sie im Abschnitt „Anzeigen von Open Directory-Status und -Protokollen“ auf Seite 210. Sie können dieses Open
Directory-Protokoll im Programm „Server-Admin“ anzeigen.
7 Klicken Sie auf „Sichern“. Ändern des Kennworttyps in „Crypt“-Kennwort
Sie können mit dem Arbeitsgruppenmanager falls erforderlich ein „Crypt-Kennwort“ für
einen Benutzer-Account festlegen. „Crypt“-Kennwörter stehen nur für einen BenutzerAccount in einer gemeinsam genutzten Verzeichnis-Domain zur Verfügung. Der Benutzer-Account kann Teil einer LDAP-Verzeichnis-Domain oder einer traditionellen gemeinsam genutzten NetInfo-Domain sein (nur verfügbar, wenn eine Verbindung zu einem
Computer mit Mac OS X Server 10.4, 10.3 oder 10.2 besteht).
Nicht verwendete Benutzer-Accounts auf Computern, für die ein „Crypt“-Kennwort erforderlich ist, sollten ein Open Directory-Kennwort oder „Shadow“-Kennwort besitzen. Ein
„Crypt“-Kennwort wird nur für die Anmeldung bei einem Computer mit Mac OS X 10.1
(oder älter) und auf Computern mit bestimmten UNIX-Typen benötigt.
Ein „Crypt“-Kennwort wird als verschlüsselter Wert oder Prüfsumme im Benutzer-AccountEintrag in der Verzeichnis-Domain gespeichert. Da das „Crypt“-Kennwort aus der Verzeichnis-Domain wiederhergestellt werden kann, ist es nicht vor Offline-Angriffen geschützt
und weniger sicher als andere Kennworttypen.
Gehen Sie wie folgt vor, um anzugeben, dass einem Benutzer-Account ein „Crypt“Kennwort zugewiesen wird:
1 Öffnen Sie im Arbeitsgruppenmanager den Account, mit dem Sie arbeiten möchten
(falls er noch nicht geöffnet ist).
Klicken Sie zum Öffnen eines Accounts auf die Taste „Accounts“ und dann auf die Taste
„Benutzer“. Klicken Sie auf das kleine Kugelsymbol über der Benutzerliste und wählen
Sie die gewünschte Option aus dem Einblendmenü aus, um die Verzeichnis-Domain
zu öffnen, in der sich der Account des Benutzers befindet. Klicken Sie auf das Schlosssymbol und melden Sie sich als Administrator einer Verzeichnis-Domain an. Wählen
Sie anschließend den Benutzer in der Liste aus.
2 Klicken Sie auf „Erweitert“.
3 Wählen Sie aus dem Einblendmenü „Benutzerkennwort“ die Option „„Crypt“-Kennwort“ aus.
4 Geben Sie bei Aufforderung ein Kennwort ein und bestätigen Sie dieses.
Ein „Crypt“-Kennwort kann höchstens acht Byte (acht ASCII-Zeichen) lang sein. Wenn
Sie ein längeres Kennwort eingeben, werden nur die ersten acht Byte verwendet.
5 Klicken Sie auf „Sichern“. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 125 Ändern des Kennworttyps in „Shadow“-Kennwort
Mithilfe des Arbeitsgruppen-Managers können Sie angeben, dass ein Benutzer ein
„Shadow“-Kennwort verwendet, das in einer sicheren Datei außerhalb der VerzeichnisDomain gespeichert wird. Nur Benutzer, deren Accounts sich in der lokalen VerzeichnisDomain befinden, können ein „Shadow“-Kennwort verwenden.
Gehen Sie wie folgt vor, um anzugeben, dass einem Benutzer-Account ein
„Shadow“-Kennwort zugewiesen wird:
1 Öffnen Sie im Arbeitsgruppenmanager den Account, mit dem Sie arbeiten möchten
(falls er noch nicht geöffnet ist).
Klicken Sie zum Öffnen eines Accounts auf die Taste „Accounts“ und dann auf die
Taste „Benutzer“. Klicken Sie auf das kleine Kugelsymbol über der Benutzerliste und
wählen Sie die gewünschte Option aus dem Einblendmenü aus, um die lokale Verzeichnis-Domain zu öffnen, in der sich der Account des Benutzers befindet. Klicken
Sie auf das Schlosssymbol und melden Sie sich als Administrator einer VerzeichnisDomain an. Wählen Sie anschließend den Benutzer in der Liste aus.
2 Klicken Sie auf „Erweitert“.
3 Wählen Sie aus dem Einblendmenü „Benutzerkennwort“ die Option „„Shadow“-Kennwort“ aus.
Hinweis: Sie können nur für lokale Benutzer-Accounts die Verwendung von „Shadow“Kennwörtern festlegen.
4 Geben Sie bei Aufforderung ein Kennwort ein und bestätigen Sie dieses.
Ein langes Kennwort wird bei einigen Identifizierungsmethoden abgeschnitten. Bis zu
128 Zeichen des Kennworts werden für NTLMv2 und NTLM verwendet und die ersten
14 Zeichen für LAN Manager.
Richtlinien zum Auswählen von Kennwörtern finden Sie im Abschnitt „Definieren eines
Kennworts“ auf Seite 120.
5 Klicken Sie im Bereich „Erweitert“ auf „Optionen“, um die Kennwortrichtlinie des Benutzers einzurichten. Klicken Sie dann auf „OK“, wenn Sie alle gewünschten Optionen festgelegt haben.
Wenn Sie „Anmeldung deaktivieren am“ auswählen, legen Sie das Datum mithilfe der
Pfeiltasten fest.
Wenn Sie eine Richtlinie verwenden, die eine Änderung des Benutzerkennworts erfordert, beachten Sie, dass nicht alle Protokolle die Änderung von Kennwörtern unterstützen. Zum Beispiel können Benutzer ihre Kennwörter nicht ändern, wenn sie sich für den
IMAP-Mail-Dienst identifizieren.
6 Klicken Sie auf „OK“.
Weitere Informationen hierzu finden Sie im Abschnitt „Festlegen von Kennwortrichtlinien
für einzelne Benutzer“ auf Seite 128.
7 Klicken Sie auf „Sichern“. 126 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Aktivieren der Kerberos-Identifizierung mit Gesamtauthentifizierung für einen Benutzer
Sie können die Kerberos-Identifizierung mit Gesamtauthentifizierung für einen Benutzer-Account in einem LDAP-Verzeichnis von Mac OS X Server aktivieren, indem Sie für
den Kennworttyp des Accounts im Bereich „Erweitert“ des Arbeitsgruppenmanagers
die Einstellung „Open Directory“ auswählen. Ändern der globalen Kennwortrichtlinie
Mithilfe des Programms „Server-Admin“ können Sie eine globale Kennwortrichtlinie für
Benutzer-Accounts in einer Mac OS X Server Verzeichnis-Domain festlegen.
Die globale Kennwortrichtlinie gilt für Benutzer-Accounts in der lokalen VerzeichnisDomain des Servers. Wenn es sich beim Server um einen Open Directory-Master oder
eine Replik handelt, gilt die globale Kennwortrichtlinie auch für Benutzer-Accounts, für
die in der LDAP-Verzeichnis-Domain des Servers der Kennworttyp „Open Directory“
festgelegt ist.
Wenn Sie die globale Kennwortrichtlinie einer Open Directory-Replik ändern, werden die
Einstellungen der Richtlinie mit dem Master und allen dessen Repliken synchronisiert.
Für Administrator-Accounts gelten Kennwortrichtlinien nicht. Jeder Benutzer kann
eine individuelle Kennwortrichtlinie verwenden, die globale Einstellungen für Kennwortrichtlinien überschreibt. Weitere Informationen hierzu finden Sie im Abschnitt
„Festlegen von Kennwortrichtlinien für einzelne Benutzer“ auf Seite 128.
Kerberos und Open Directory-Kennwortserver verwalten Kennwortrichtlinien getrennt.
Mac OS X Server synchronisiert die Regeln der Kerberos-Kennwortrichtlinie mit den
Regeln der Kennwortrichtlinie des Open Directory-Kennwortservers.
Gehen Sie wie folgt vor, um die globale Kennwortrichtlinie von Benutzer-Accounts in
derselben Domain zu ändern:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zu einem
Open Directory-Master- oder Replikserver her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Richtlinien“. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 127 5 Klicken Sie auf „Kennwörter“ und legen Sie denn die gewünschten Optionen für Kennwortrichtlinien für Benutzer fest, die keine eigenen Kennwortrichtlinien definiert haben.
Wenn Sie eine Option auswählen, die ein Ändern des Kennworts erfordert, denken
Sie daran, dass einige Dienstprotokolle es Benutzern nicht erlauben, Kennwörter zu
ändern. Zum Beispiel können Benutzer ihre Kennwörter nicht ändern, wenn sie sich
für den IMAP-Mail-Dienst identifizieren.
6 Klicken Sie auf „Sichern“.
Repliken des Open Directory-Masters übernehmen automatisch dessen globale
Kennwortrichtlinie.
Verwenden von Befehlszeilenprogrammen
Sie können Kennwortrichtlinien auch mit dem Befehl pwpolicy im Programm „Terminal“
festlegen. Weitere Informationen hierzu finden Sie im Kapitel zu Open Directory im Handbuch Command-Line Administration. Festlegen von Kennwortrichtlinien für einzelne Benutzer
Mit dem Arbeitsgruppenmanager können Sie Kennwortrichtlinien für BenutzerAccounts festlegen, deren Kennworttyp „Open Directory“ oder „„Shadow“-Kennwort“
ist. Die Kennwortrichtlinie für einen Benutzer setzt die globale Kennwortrichtlinie
außer Kraft, die im Bereich „Richtlinien“ des Open Directory-Diensts im Programm
„Server-Admin“ festgelegt ist.
Die Kennwortrichtlinie für einen mobilen Benutzer-Account wird angewendet, wenn
der Account verwendet wird, während der Mobilcomputer vom Netzwerk getrennt
ist. Die Kennwortrichtlinie des entsprechenden Benutzer-Accounts im Netzwerk wird
angewendet, während der Mobilcomputer mit dem Netzwerk verbunden ist.
Für Administrator-Accounts gelten Kennwortrichtlinien nicht.
Damit Sie eine Kennwortrichtlinie für einen Benutzer-Account mit einem Open
Directory-Kennwort festlegen können, müssen Sie über Administratorrechte für die
Open Directory-Identifizierung in der Verzeichnis-Domain mit dem Benutzer-Account
verfügen. Dies bedeutet, dass Sie sich als ein Verzeichnis-Domain-Administrator identifizieren müssen, dessen Kennworttyp „Open Directory“ ist.
Weitere Informationen hierzu finden Sie im Abschnitt „Zuweisen von Administratorrechten für die Open Directory-Identifizierung“ auf Seite 132. 128 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Kerberos und Open Directory-Kennwortserver verwalten Kennwortrichtlinien getrennt.
Mac OS X Server synchronisiert die Regeln der Kerberos-Kennwortrichtlinie mit den
Regeln der Kennwortrichtlinie des Open Directory-Kennwortservers.
Verwenden Sie nicht die Taste „Optionen“ im Bereich „Erweitert“, um Kennwortrichtlinien
für Verzeichnis-Domain-Administratoren festzulegen. Kennwortrichtlinien werden auf
Administrator-Accounts nicht angewendet. Administratoren von Verzeichnis-Domains
müssen in der Lage sein, die Kennwortrichtlinien von Benutzer-Accounts zu ändern.
Gehen Sie wie folgt vor, um die Kennwortrichtlinie für einen Benutzer-Account
zu ändern:
1 Öffnen Sie im Arbeitsgruppenmanager den Account, mit dem Sie arbeiten möchten
(falls er noch nicht geöffnet ist).
Klicken Sie zum Öffnen eines Accounts auf die Taste „Accounts“ und dann auf die Taste
„Benutzer“. Klicken Sie auf das kleine Kugelsymbol über der Benutzerliste und wählen
Sie die gewünschte Option aus dem Einblendmenü aus, um die Verzeichnis-Domain
zu öffnen, in der sich der Account des Benutzers befindet. Klicken Sie auf das Schlosssymbol und identifizieren Sie sich als ein Verzeichnis-Domain-Administrator, dessen
Kennworttyp „Open Directory“ ist. Wählen Sie dann den Benutzer in der Liste aus.
2 Klicken Sie auf „Erweitert“ und dann auf „Optionen“.
Sie können nur dann auf „Optionen“ klicken, wenn der Kennworttyp „Open Directory“
oder „Shadow“-Kennwort ist.
3 Ändern Sie die gewünschten Optionen der Kennwortrichtlinie. Klicken Sie dann auf „OK“.
Wenn Sie eine Option auswählen, die ein Zurücksetzen (Ändern) des Kennworts erfordert, denken Sie daran, dass einige Dienstprotokolle es Benutzern nicht erlauben, Kennwörter zu ändern. Zum Beispiel können Benutzer ihre Kennwörter nicht ändern, wenn
sie sich für den IMAP-Mail-Dienst identifizieren.
4 Klicken Sie auf „Sichern“.
Verwenden von Befehlszeilenprogrammen
Sie können Kennwortrichtlinien auch mit dem Befehl pwpolicy im Programm „Terminal“
festlegen. Weitere Informationen hierzu finden Sie im Kapitel zu Open Directory im Handbuch Command-Line Administration. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 129 Auswählen von Identifizierungsmethoden für Benutzer von
„Shadow“-Kennwörtern
Mithilfe des Arbeitsgruppen-Managers können Sie auswählen, welche Identifizierungsmethoden für einen Benutzer-Account verfügbar sind, dessen Kennworttyp „„Shadow“Kennwort“ lautet.
Ein „Shadow“-Kennwort unterstützt verfügbare Identifizierungsmethoden aus Gründen
der Kompatibilität mit Client-Software. Wenn Sie wissen, dass der Benutzer keine ClientSoftware verwenden wird, für die eine bestimmte Identifizierungsmethode erforderlich
ist, können Sie die Methode deaktivieren. Weitere Informationen hierzu finden Sie im
Abschnitt „Deaktivieren von Identifizierungsmethoden mit „Shadow“-Kennwörtern“ auf
Seite 62.
Wenn Sie eine Identifizierungsmethode deaktivieren, wird deren Prüfsumme bei der
nächsten Identifizierung des Benutzers aus der „Shadow“-Kennwortdatei des Benutzers entfernt.
Wenn Sie eine bisher deaktivierte Identifizierungsmethode aktivieren, wird die Prüfsumme der erneut aktivierten Methode der „Shadow“-Kennwortdatei des Benutzers
hinzugefügt, wenn er sich das nächste Mal für einen Dienst identifiziert, der unverschlüsselte Kennwörter verwenden kann, wie z. B. das Anmeldefenster oder AFP.
Alternativ kann auch das Benutzerkennwort zurückgesetzt werden, damit die Prüfsumme der neu aktivierten Methode hinzugefügt wird. Das Kennwort kann vom
Benutzer oder einem Verzeichnisadministrator zurückgesetzt werden.
Lesen Sie den nächsten Abschnitt, wenn Sie die Identifizierungen für Benutzer-Accounts
mit dem Kennworttyp „Open Directory“ aktivieren oder deaktivieren möchten.
Gehen Sie wie folgt vor, um die Identifizierungsmethoden für einen Benutzer mit
„Shadow“-Kennwort zu aktivieren oder deaktivieren:
1 Öffnen Sie im Arbeitsgruppenmanager den Account, mit dem Sie arbeiten möchten
(falls er noch nicht geöffnet ist).
Klicken Sie zum Öffnen eines Accounts auf die Taste „Accounts“ und dann auf die Taste
„Benutzer“. Klicken Sie auf das kleine Kugelsymbol über der Benutzerliste und wählen
Sie die gewünschte Option aus dem Einblendmenü aus, um die lokale VerzeichnisDomain zu öffnen, in der sich der Account des Benutzers befindet. Klicken Sie auf das
Schlosssymbol und identifizieren Sie sich als Verzeichnis-Domain-Administrator. Wählen Sie dann den Benutzer in der Liste aus.
2 Klicken Sie auf „Erweitert“ und dann auf „Sicherheit“.
Die Option „Sicherheit“ ist nur verfügbar, wenn der Kennworttyp „„Shadow“-Kennwort“ ist.
3 Wählen Sie die zu aktivierenden Identifizierungsmethoden aus und heben Sie die Auswahl der zu deaktivierenden Identifizierungsmethoden auf. Klicken Sie dann auf „OK“.
4 Klicken Sie auf „Sichern“. 130 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Verwenden von Befehlszeilenprogrammen
Sie können die Identifizierungsmethoden für einen Benutzer mit einem „Shadow“Kennwort auch aktivieren oder deaktivieren, indem Sie den Befehl pwpolicy im Programm „Terminal“ verwenden. Weitere Informationen hierzu finden Sie im Kapitel zu
Open Directory im Handbuch Command-Line Administration. Auswählen von Identifizierungsmethoden für
Open Directory-Kennwörter
Mit dem Programm „Server-Admin“ können Sie auswählen, welche Identifizierungsmethoden für Benutzer-Accounts mit dem Kennworttyp „Open Directory“ verfügbar sein
werden. Der Open Directory-Kennwortserver unterstützt die verfügbaren Identifizierungsmethoden und sorgt damit für Kompatibilität mit der Client-Software. Wenn Sie
wissen, dass Benutzer keine Client-Software verwenden werden, für die eine bestimmte
Identifizierungsmethode erforderlich ist, können Sie die Methode deaktivieren.
Weitere Informationen hierzu finden Sie im Abschnitt „Deaktivieren von Identifizierungsmethoden von Open Directory“ auf Seite 61.
Wichtig: Wenn Sie eine Identifizierungsmethode deaktivieren, wird die zugehörige
Prüfsumme bei der nächsten Identifizierung des Benutzers aus der Kennwortdatenbank entfernt. Wenn Sie eine bisher deaktivierte Identifizierungsmethode aktivieren,
muss jedes Open Directory-Kennwort geändert werden, damit die Prüfsumme der
neu aktivierten Methode zur Kennwortdatenbank hinzugefügt wird. Das Kennwort
kann vom Benutzer oder einem Verzeichnisadministrator geändert werden.
Informationen dazu, wie Sie Identifizierungsmethoden für Benutzer-Accounts mit
dem Kennworttyp „“Shadow“-Kennwort“ aktivieren oder deaktivieren, finden Sie im
Abschnitt „Festlegen von Kennwortrichtlinien für einzelne Benutzer“ auf Seite 128.
Gehen Sie wie folgt vor, um Identifizierungsmethoden für Open DirectoryKennwörter zu aktivieren oder zu deaktivieren:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zu einem
Open Directory-Master-Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Richtlinien“.
5 Klicken Sie auf „Identifizierung“, wählen Sie die zu aktivierenden Identifizierungsmethoden aus und heben Sie die Auswahl der zu deaktivierenden Identifizierungsmethoden auf.
6 Klicken Sie auf „Sichern“.
Repliken des Open Directory-Masters übernehmen die Einstellungen der Identifizierungsmethode für Open Directory-Kennwörter im LDAP-Verzeichnis. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 131 Verwenden von Befehlszeilenprogrammen
Sie können Identifizierungsmethoden des Kennwortserves für Open Directory-Kennwörter auch aktivieren oder deaktivieren, indem Sie den Befehl NeST mit den Argumenten -getprotocols und -setprotocols im Programm „Terminal“ verwenden.
Weitere Informationen hierzu finden Sie im Kapitel zu Open Directory im Handbuch
Command-Line Administration. Zuweisen von Administratorrechten für die
Open Directory-Identifizierung
Wenn Sie den Arbeitsgruppen-Manager und einen Administrator-Account mit Rechten
zur Nutzung der Kennworteinstellungen von Open Directory verwenden, können Sie
diese Rechte anderen Benutzer-Accounts in derselben Verzeichnis-Domain zuweisen.
Damit Sie diese Rechte zuweisen können, muss Ihr Benutzer-Account über ein Open
Directory-Kennwort und Zugriffsrechte für die Verwaltung von Benutzer-Accounts verfügen. Diese Anforderung trägt zur Sicherheit von Kennwörtern bei, die im KerberosKDC und der Datenbank des Open Directory-Kennwortservers gespeichert sind.
Gehen Sie wie folgt vor, um einem Benutzer-Account Administratorrechte für die
Open Directory-Identifizierung zuzuweisen:
1 Öffnen Sie den Account im Arbeitsgruppenmanager, klicken Sie auf „Erweitert“ und
vergewissern Sie sich, dass für „Benutzerkennwort“ die Einstellung „Open Directory“
ausgewählt ist.
Weitere Informationen hierzu finden Sie im Abschnitt „Ändern des Kennworttyps in
„Open Directory““ auf Seite 123.
2 Klicken Sie auf „Rechte“ und wählen Sie „Voll“ aus dem Einblendmenü „Verwaltungsrechte“ aus.
Wählen Sie „Eingeschränkt“, um die Verwaltungsrechte einzuschränken.
3 Klicken Sie auf „Sichern“.
Weitere Informationen zum Festlegen von Administratorrechten finden Sie im Handbuch Benutzerverwaltung. 132 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Synchronisieren der Kennwörter des primären Administrators
Unter Mac OS X Server 10.3 kann es verwirrend sein, wenn verschiedene Kennwörter
für den primären lokalen Administrator-Account und den LDAP-Administrator-Account
(Benutzer-ID 501) vorhanden sind. Daher sollten Sie identische Kennwörter verwenden.
Auf einem von Mac OS X Server Version 10.3 aktualisierten Open Directory-Server befindet sich der primäre Administrator-Account normalerweise in der lokalen VerzeichnisDomain des Servers und in dessen LDAP-Verzeichnis. Dieser Account wurde von der
lokalen Verzeichnis-Domain in das LDAP-Verzeichnis kopiert, als der Open DirectoryMaster mit Mac OS X Server 10.3 erstellt wurde.
Anfänglich besitzen beide Kopien dieses Accounts die Benutzer-ID 501, denselben
Namen und dasselbe Kennwort. Jeder Account besitzt Administratorrechte für die
zugehörige Verzeichnis-Domain.
Wenn Sie im Arbeitsgruppenmanager eine Verbindung zum Server herstellen und dafür
den allgemeinen Namen des Accounts und das zugehörige Kennwort verwenden, sind
Sie für die lokale Verzeichnis-Domain und die LDAP-Verzeichnis-Domain identifiziert.
Wenn Sie eines der Kennwörter ändern, wird die Identifizierung bei beiden VerzeichnisDomains aufgehoben. Wenn Sie beim Verbinden mit dem Server im Arbeitsgruppenmanager beispielsweise das Kennwort des lokalen Administrators verwenden, können
Sie nur in der lokalen Verzeichnis-Domain Änderungen vornehmen. Möchten Sie im
LDAP-Verzeichnis Änderungen ausführen, müssen Sie auf das Schlosssymbol klicken
und sich mit dem Kennwort des LDAP-Administrators identifizieren.
Hinweis: Ein mit Mac OS X Server 10.5 erstellter Open Directory-Server verfügt über
unterschiedliche Administrator-Accounts für seine lokalen Verzeichnisse und LDAPVerzeichnisse. Diese Accounts haben andere Namen und Benutzer-IDs. Daher können
sich die Kennwörter dieser Accounts ebenfalls unterscheiden, ohne dass dies zu Verwirrungen führt. Aktivieren der identifizierten LDAP-Verzeichnisbindung für
einen Benutzer
Sie können die identifizierte LDAP-Verzeichnisbindung für einen in einer LDAP-Verzeichnis-Domain gespeicherten Benutzer-Account aktivieren. Wenn Sie diese Methode
zur Kennwortüberprüfung verwenden, greifen Sie auf den LDAP-Server zurück, der den
Benutzer-Account enthält, um das Kennwort des Benutzers zu identifizieren. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 133 Wichtig: Enthält der Name Ihres Computers einen Bindestrich, können Sie möglicherweise nicht auf eine Verzeichnis-Domain wie LDAP oder Active Directory zugreifen bzw.
keine Verbindung dazu herstellen. Verwenden Sie einen Computernamen ohne Bindestrich, um die Verbindung herstellen zu können.
Gehen Sie wie folgt vor, um die identifizierte LDAP-Verzeichnisbindung für einen
Benutzer zu aktivieren:
1 Vergewissern Sie sich, dass der Mac OS X-Computer, der den Benutzer-Account identifizieren muss, mit dem LDAP-Verzeichnis des Benutzer-Account verbunden ist und dass
der Suchpfad des Computers die Verbindung zum LDAP-Verzeichnis umfasst.
Informationen zum Konfigurieren von Verbindungen zum LDAP-Server und des Suchpfads finden Sie im Abschnitt „Verwenden erweiterter Einstellungen für den LDAPDienst“ auf Seite 155.
2 Wenn Sie eine LDAP-Verbindung konfigurieren, die die Attribute für Kennwort und
Berechtigung der Identifizierung nicht zuordnet, findet automatisch eine identifizierte
Verzeichnisbindung statt.
Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren von LDAP-Suchen
und -Zuordnungen“ auf Seite 172.
3 Wenn Sie die Verbindung so konfigurieren, dass unverschlüsselte Kennwörter zugelassen
werden, sollten Sie für die Verbindung auch die Verwendung von SSL festlegen, damit
das unverschlüsselte Kennwort beim Senden geschützt wird.
Weitere Informationen finden Sie in den Abschnitten „Ändern der Sicherheitsrichtlinie
für eine LDAP-Verbindung“ auf Seite 170 und „Ändern der Verbindungseinstellungen
für ein LDAP-Verzeichnis“ auf Seite 169. Einstellen von Kennwörtern von exportierten oder
importierten Benutzer-Accounts
Wenn Sie Benutzer-Accounts mit dem Kennworttyp „Open Directory“ oder „„Shadow“Kennwort“ exportieren, werden keine Kennwörter exportiert. Dadurch wird die Sicherheit der Datenbank des Open Directory-Kennwortservers und der „Shadow“-Kennwortdateien gewährleistet.
Vor dem Importieren der Datei mit den exportierten Benutzern können Sie die Datei
mit einem Tabellenkalkulationsprogramm öffnen und die Kennwörter der Benutzer
festlegen. Die Benutzer können ihre Kennwörter dann bei der nächsten Anmeldung
ändern. Anleitungen zum Arbeiten mit Dateien exportierter Benutzer finden Sie im
Handbuch Benutzerverwaltung. 134 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung Nach dem Importieren von Benutzer-Accounts haben Sie die folgenden Möglichkeiten,
um Kennwörter festzulegen:
 Sie können für alle importierten Accounts die Verwendung eines temporären Kennworts festlegen, das alle Benutzer bei ihrer nächsten Anmeldung ändern können.
Weitere Informationen hierzu finden Sie im Abschnitt „Zurücksetzen der Kennwörter
mehrerer Benutzer“ auf Seite 122.
 Das Kennwort aller importierten Benutzer-Accounts lässt sich im Bereich „Allgemein“
des Arbeitsgruppenmanagers festlegen. Weitere Informationen hierzu finden Sie im
Abschnitt „Ändern des Kennworts eines Benutzers“ auf Seite 121. Umstellen von Kennwörtern von Mac OS X Server 10.1
(oder älter)
Benutzer-Accounts können von älteren Versionen von Mac OS X Server migriert werden,
indem Sie die Account-Einträge importieren oder den Server aktualisieren, auf dem sich
die Einträge befinden.
Mit Mac OS X Server 10.1 (oder älter) erstellte Benutzer-Accounts besitzen keine Attribute zur Berechtigung der Identifizierung, aber „Crypt“-Kennwörter. Aus Kompatibilitätsgründen mit solchen Benutzer-Accounts geht Mac OS X Server davon aus, dass ein
Benutzer-Account ohne Attribut zur Berechtigung der Identifizierung über ein „Crypt“Kennwort verfügt.
Wenn Sie Benutzer-Accounts von Mac OS X Server 10.1 (oder älter) importieren, besitzen sie kein Attribut zur Berechtigung der Identifizierung. Daher werden diese Benutzer-Accounts anfänglich für die Nutzung von „Crypt“-Kennwörtern konfiguriert.
Wenn Sie diese Benutzer-Accounts in die lokale Verzeichnis-Domain des Servers
importieren, werden alle Accounts so geändert, dass sie anstelle von „Crypt“-Kennwörtern „Shadow“-Kennwörter verwenden, wenn der Benutzer oder Administrator
das Kennwort ändert oder wenn sich der Benutzer bei einem Dienst anmeldet, der
eine wiederherstellbare Identifizierungsmethode nutzen kann.
Informationen zum Importieren von Benutzer-Accounts finden Sie im Handbuch
Benutzerverwaltung.
Bei einer Aktualisierung von Mac OS X Server 10.1 (oder älter) besitzen BenutzerAccounts, die vor der Aktualisierung erstellt wurden, kein Attribut zur Berechtigung
der Identifizierung. Nach der Aktualisierung wird angenommen, dass diese BenutzerAccounts „Crypt“-Kennwörter besitzen. Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 135 Bestehende „Crypt“-Kennwörter können nach dem Importieren oder Aktualisieren zwar
weiterhin verwendet werden, aber Sie haben die Möglichkeit, Benutzer-Accounts zu
ändern und ihnen Open Directory- oder „Shadow“-Kennwörter zuzuweisen.
Sie können einzelne Benutzer-Accounts oder mehrere Benutzer-Accounts mithilfe des
Arbeitsgruppen-Managers ändern. Durch das Ändern des Kennworttyps eines Benutzer-Accounts wird das Kennwort zurückgesetzt. Weitere Informationen hierzu finden
Sie in den Abschnitten „Ändern des Kennworttyps in „Open Directory““ auf Seite 123
und „Ändern des Kennworttyps in „Shadow“-Kennwort“ auf Seite 126.
Einige mit Mac OS X Server 10.1 (oder älter) erstellte Benutzer-Accounts verwenden
u. U. den Identifizierungsmanager (Authentification Manager). Es handelt sich dabei
um eine traditionelle Technologie zum Identifizieren von Benutzern der Windowsund Apple-Dateidienste, deren Mac OS 8-Computer nicht mit der AFP-Client-Software
Version 3.8.3 (oder neuer) aktualisiert wurden.
Beim Migrieren des Identifizierungsmanagers haben Sie die folgenden Optionen:
 Wenn Sie zuerst eine Aktualisierung von Mac OS X Server 10.1 auf 10.2 ausführen
und dann auf 10.5 aktualisieren, können vorhandene Benutzer ihre bestehenden
Kennwörter weiterverwenden.
 Sie können einige oder alle aktualisierten Benutzer-Accounts so ändern, dass diese
Open Directory-Kennwörter oder „Shadow“-Kennwörter besitzen. Diese Kennworttypen sind sicherer als „Crypt“-Kennwörter. Weitere Informationen hierzu finden Sie
im Handbuch Open Directory – Administration.
 Wenn der aktualisierte Server über eine gemeinsam genutzte NetInfo-Domain verfügt
und Sie diese in ein LDAP-Verzeichnis migrieren, werden alle Benutzer-Accounts für die
Verwendung von Open Directory-Kennwörtern umgewandelt.
 Alle Benutzer-Accounts in der lokalen Verzeichnis-Domain des Servers werden so
geändert, dass sie anstelle von „Crypt“-Kennwörtern „Shadow“-Kennwörter verwenden, wenn der Benutzer oder Administrator das Kennwort ändert oder wenn sich
der Benutzer bei einem Dienst anmeldet, der eine wiederherstellbare Identifizierungsmethode nutzen kann.
 Wenn Sie Benutzer-Accounts in das LDAP-Verzeichnis importieren, die den Identifizierungsmanager verwenden, werden die Accounts beim Import so umgewandelt,
dass sie über Open Directory-Kennwörter verfügen. 136 Kapitel 6 Verwalten der Daten für die Benutzeridentifizierung 7 Verwalten von Verzeichnis-Clients 7 Verwenden Sie das Programm „Verzeichnisdienste“, um den
Zugriff eines Computers mit Mac OS X oder Mac OS X Server
auf Verzeichnisdienste zu konfigurieren und zu verwalten.
Nachdem Sie Ihren Verzeichnisserver konfiguriert haben, können Sie Client-Computer
mithilfe des Programms „Verzeichnisdienste“ verbinden. Mit dem Programm „Verzeichnisdienste“ können Sie eine Verbindung zu entfernten Computern herstellen und deren
Einstellungen ändern, um die Computerverwaltung zu vereinfachen. Verbinden von Clients mit Verzeichnisservern
In den folgenden Abschnitten wird erläutert, wie Verzeichnisserver in der Liste der
Verzeichnisserver hinzugefügt, entfernt, bearbeitet und überwacht werden.
 „Verbindungen mit Verzeichnisservern“ auf Seite 137
 „Automatisierte Client-Konfiguration“ auf Seite 138
 „Hinzufügen einer Verbindung zu einem Active Directory-Server“ auf Seite 139
 „Hinzufügen einer Verbindung zu einem Open Directory-Server“ auf Seite 140
 „Entfernen einer Verbindung zu einem Verzeichnisserver“ auf Seite 140
 „Bearbeiten einer Verbindung zu einem Verzeichnisserver“ auf Seite 141
 „Überwachen von Verbindungen mit Verzeichnisservern“ auf Seite 141 Verbindungen mit Verzeichnisservern
Mit dem Programm „Verzeichnisdienste“ können Sie Computer mit Verzeichnisservern
verbinden. Im Bereich „Verzeichnisserver“ des Programms „Verzeichnisdienste“ werden
die Verzeichnisserver aufgelistet, mit denen Ihr Computer verbunden ist. Ihr Mac OS XComputer greift auf die Server in der Liste zu, um Benutzerinformationen und andere
administrative Daten abzurufen, die in der Verzeichnis-Domain von Verzeichnisservern
gespeichert sind. 137 Wenn Sie einen Server zur Liste der Verzeichnisserver hinzufügen oder daraus löschen,
werden die zu diesem Verzeichnisserver gehörenden Einträge aus den Listen in den
Bereichen „Dienste“, „Identifizierung“ und „Kontakte“ gelöscht. Entfernen Sie allerdings
die zugehörigen Einträge aus den Listen in den Bereichen „Dienste“, „Identifizierung“
und „Kontakte“, wird der Verzeichnisserver nicht aus der Liste der Verzeichnisserver
entfernt.
Computer mit Mac OS X 10.5 können eine Verbindung zu einem Open Directory-,
Active Directory- oder Mac OS X Server-Verzeichnisserver herstellen. Wenn Sie nicht
wissen, zu welchem Server Sie eine Verbindung aufbauen sollen, wenden Sie sich an
Ihren Netzwerkadministrator.
Wichtig: Enthält der Name Ihres Computers einen Bindestrich, können Sie möglicherweise nicht auf eine Verzeichnis-Domain wie LDAP oder Active Directory zugreifen
bzw. keine Verbindung dazu herstellen. Verwenden Sie einen Computernamen ohne
Bindestrich, um die Verbindung herstellen zu können. Automatisierte Client-Konfiguration
Wenn Sie eine Verbindung zu einer Open Directory-Domain herstellen, die als Standardoder Arbeitsgruppenkonfiguration von Mac OS X Server vorliegt, unterstützt Sie das Programm „Verzeichnisdienste“ bei der Konfiguration Ihres Computers.
Gehen Sie wie folgt vor, um eine Verbindung zu einem Server mit Standard- oder
Arbeitsgruppenkonfiguration herzustellen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“).
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Klicken Sie auf „Verzeichnisserver“ und danach auf die Taste „Hinzufügen“ (+).
4 Wählen Sie aus dem Einblendmenü „Ein neues Verzeichnis hinzufügen – vom Typ“
die Option „Open Directory“ aus.
5 Geben Sie in das Feld „Servername oder IP-Adresse“ den Servernamen oder die
IP-Adresse ein.
6 (Bedingt) Erkundigen Sie sich vor der Auswahl des Markierungsfelds „Verschlüsselung mit SSL“ bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist.
7 Im Bereich „Einführung“ wird eine Liste der von dem Server bereitgestellten Dienste
angezeigt, zu dem Sie eine Verbindung herstellen. Klicken Sie auf „Einrichten“.
8 Geben Sie die Identifizierungsinformationen für den Server ein, zu dem Sie eine
Verbindung aufbauen.
Geben Sie in das Feld für Name und Kennwort den Namen und das Kennwort des
Administrators des Servers ein, zu dem Sie die Verbindung herstellen. 138 Kapitel 7 Verwalten von Verzeichnis-Clients Geben Sie das Kennwort für den Benutzer-Account ein, der in der Einstellung „Geben Sie
das Kennwort für den Account benutzername auf diesem Computer ein“ genannt wird.
9 Klicken Sie auf „Fortfahren“.
10 Wählen Sie unter „Konfigurationsoptionen“ aus, ob Ihre Programme mit dem Programm
„Verzeichnisdienste“ konfiguriert werden sollen oder nicht.
Wählen Sie „Ja“, wenn der Server Ihre Programme für die Nutzung der angebotenen
Dienste konfigurieren soll.
Wählen Sie „Nein“, um diese Konfiguration zu umgehen.
11 Klicken Sie auf „Fortfahren“.
12 Klicken Sie auf „Konf. beenden“.
Das Programm „Verzeichnisdienste“ konfiguriert Ihren Computer.
13 Klicken Sie auf „Abmelden“, um sich vom Computer abzumelden.
Melden Sie sich wieder an, um die neuen Dienste zu verwenden.
Klicken Sie auf „Nicht abmelden“, wenn Sie beim Server angemeldet bleiben möchten. Hinzufügen einer Verbindung zu einem Active Directory-Server
Wenn Sie eine Verbindung zu einem Active Directory-Server herstellen, muss Ihnen der
Servername oder die IP-Adresse sowie der Benutzername und das Kennwort des Active
Directory-Administrators bekannt sein.
Gehen Sie wie folgt vor, um einen Active Directory-Server hinzuzufügen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“).
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Klicken Sie auf die Taste „Hinzufügen“ (+).
4 Wählen Sie aus dem Einblendmenü „Ein neues Verzeichnis hinzufügen vom Typ“ die
Option „Active Directory“ aus und geben Sie dann die folgenden Informationen ein:
 Active Directory-Domain: Hierbei handelt es sich um den DNS-Namen oder die
IP-Adresse des Active Directory-Servers.
 Computer-ID: Bearbeiten Sie ggf. die ID, die Active Directory für Ihren Server verwenden soll. Hierbei handelt es sich um den NetBIOS-Namen des Servers. Der Name darf
nicht länger als 15 Zeichen sein und darf keine Sonderzeichen oder Satzzeichen enthalten. Passen Sie den Servernamen ggf. an seinen nicht qualifizierten DNS-Hostnamen an. Wird Ihr Server auf dem DNS-Server beispielsweise mit „server.beispiel.com“
bezeichnet, nennen Sie Ihren Server „server“.
 AD-Administrator-Benutzername und -Kennwort: Geben Sie den Benutzernamen und
das Kennwort des Active Directory-Administrators ein.
5 Klicken Sie auf „OK“. Kapitel 7 Verwalten von Verzeichnis-Clients 139 Hinzufügen einer Verbindung zu einem Open Directory-Server
Wenn Sie einen Open Directory-Server hinzufügen, muss Ihnen der Servername oder
die IP-Adresse bekannt sein. Außerdem müssen Sie wissen, ob der Server SSL (Secure
Socket Layer) verwendet.
Gehen Sie wie folgt vor, um einen Open Directory-Server hinzuzufügen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“).
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Klicken Sie auf die Taste „Hinzufügen“ (+).
4 Wählen Sie aus dem Einblendmenü „Ein neues Verzeichnis hinzufügen – vom Typ“
die Option „Open Directory“ aus.
5 Geben Sie in das Feld „Servername oder IP-Adresse“ den Servernamen oder die
IP-Adresse ein.
6 (Bedingt) Erkundigen Sie sich vor der Auswahl des Markierungsfelds „Verschlüsselung mit SSL“ bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist.
Wichtig: Wenn Sie die IP-Adresse und den Computernamen mithilfe des Befehls
„changeip“ ändern, während Sie mit einem Verzeichnisserver verbunden sind, müssen Sie die Verbindung zum Verzeichnisserver zuerst trennen und dann wieder herstellen. Dadurch wird das Verzeichnis mit dem neuen Computernamen und der
neuen IP-Adresse aktualisiert. Wenn Sie die Verbindung mit Verzeichnisserver nicht
trennen und dann wiederherstellen, wird das Verzeichnis nicht aktualisiert und verwendet weiterhin den alten Computernamen und die alte IP-Adresse. Entfernen einer Verbindung zu einem Verzeichnisserver
Vergewissern Sie sich vor dem Entfernen eines Verzeichnisservers aus dem Programm
„Verzeichnisdienste“, dass Sie dessen Dienste nicht für andere Programme verwenden.
Wenn das Programm „Mail“ beispielsweise so konfiguriert ist, dass es mithilfe des Verzeichnisservers nach Kontakten sucht und Sie den Verzeichnisserver löschen, können
Sie nicht nach Kontakten auf diesem Verzeichnisserver suchen.
Gehen Sie wie folgt vor, um einen Verzeichnisserver zu löschen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“).
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie aus der Liste im Bereich „Verzeichnisserver“ den Verzeichnisserver aus,
der gelöscht werden soll. 140 Kapitel 7 Verwalten von Verzeichnis-Clients 4 Klicken Sie auf die Taste „Löschen“ (–).
5 Wenn Sie sicher sind, dass Sie den korrekten Verzeichnisserver ausgewählt haben,
klicken Sie auf „Server nicht mehr verwenden“. Bearbeiten einer Verbindung zu einem Verzeichnisserver
Mit dem Programm „Verzeichnisdienste“ können Sie Verzeichnisserver bearbeiten, zu
denen eine Verbindung besteht.
Gehen Sie wie folgt vor, um eine Verbindung zu einem Verzeichnisserver
zu bearbeiten:
1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“).
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie aus der Liste im Bereich „Verzeichnisserver“ den Verzeichnisserver aus, der
bearbeitet werden soll.
4 Klicken Sie auf die Taste „Bearbeiten“ (/).
5 Ändern Sie die Einstellungen des Verzeichnisservers.
6 Klicken Sie auf „OK“. Überwachen von Verbindungen mit Verzeichnisservern
Sie können die Liste im Bereich „Verzeichnisserver“ des Programms „Verzeichnisdienste“
verwenden, um den Status von Verzeichnisservern zu überwachen, mit denen Ihr Computer verbunden ist. Diese Informationen sind hilfreich, wenn Sie den Grund für ein Verbindungsproblem mit einem bestimmten Verzeichnisserver ermitteln wollen.
Gehen Sie wie folgt vor, um den Status eines Verzeichnisservers zu überwachen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“).
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Beachten Sie die Farbe des Punkts links neben dem Verzeichnisserver:
 Grün: Der Verzeichnisserver antwortet dem Programm „Verzeichnisdienste“.
 Gelb: Das Programm „Verzeichnisdienste“ wartet auf eine Antwort vom Verzeichnisserver.
 Rot: Der Verzeichnisserver antwortet dem Programm „Verzeichnisdienste“ nicht. Verwalten des root-Benutzer-Accounts
Mit dem Programm „Verzeichnisdienste“ können Sie den root-Benutzer-Account verwalten, indem Sie den root-Benutzer aktivieren oder deaktivieren. Wenn Sie den rootBenutzer-Account aktiviert haben, lässt sich mit dem Programm „Verzeichnisdienste“
auch das Kennwort des root-Accounts ändern. Kapitel 7 Verwalten von Verzeichnis-Clients 141 Aktivieren des root-Benutzer-Accounts
Mit dem Programm „Verzeichnisdienste“ können Sie den root-Benutzer-Account aktivieren. Wenn Sie den root-Benutzer-Account aktivieren, verwenden Sie ein sicher verschlüsseltes Kennwort mit alphanumerischen Zeichen und Sonderzeichen, um eine
Gefährdung der Kennwortsicherheit zu verhindern.
ACHTUNG: Beim root-Account handelt es sich um einen Administrator-Account ohne
Einschränkungen, der zum Ändern wichtiger Systemdateien verwendet wird. Selbst
wenn Sie als Administrator angemeldet sind, müssen Sie den root-Account oder den
Befehl sudo verwenden, um wichtige Systemaufgaben auszuführen.
Melden Sie sich niemals über den root-Account am Computer an (egal ob per Fernzugriff oder lokal). Verwenden Sie stattdessen den Befehl sudo, um root-Aufgaben
auszuführen. Sie können den Zugriff auf den Befehl sudo einschränken, indem Sie
Benutzer zur Datei „/etc/sudoers“ hinzufügen.
Weitere Informationen zum root-Account finden Sie im Handbuch Benutzerverwaltung.
Gehen Sie wie folgt vor, um den root-Benutzer-Account zu aktivieren:
1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“).
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie „Bearbeiten“ > „root-Benutzer aktivieren“. Ändern des Kennwort des root-Benutzer-Accounts
Mit dem Programm „Verzeichnisdienste“ können Sie das Kennwort des root-Accounts
ändern. Wenn Sie das root-Kennwort ändern, verwenden Sie ein sicher verschlüsseltes
Kennwort mit alphanumerischen Zeichen und Sonderzeichen, um eine Gefährdung der
Kennwortsicherheit zu verhindern.
ACHTUNG: Beim root-Account handelt es sich um einen Administrator-Account ohne
Einschränkungen, der zum Ändern wichtiger Systemdateien verwendet wird. Selbst
wenn Sie als Administrator angemeldet sind, müssen Sie den root-Account oder den
Befehl sudo verwenden, um wichtige Systemaufgaben auszuführen.
Melden Sie sich niemals über den root-Account am Computer an (egal ob per Fernzugriff oder lokal). Verwenden Sie stattdessen den Befehl sudo, um root-Aufgaben
auszuführen. Sie können den Zugriff auf den Befehl sudo einschränken, indem Sie
Benutzer zur Datei „/etc/sudoers“ hinzufügen.
Weitere Informationen zum root-Account finden Sie im Handbuch Benutzerverwaltung. 142 Kapitel 7 Verwalten von Verzeichnis-Clients Gehen Sie wie folgt vor, um das Kennwort des root-Benutzer-Accounts zu ändern:
1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“).
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie „Bearbeiten“ > „root-Kennwort ändern“.
4 Geben Sie bei Aufforderung das neue root-Kennwort in die Felder „Kennwort“ und
„Bestätigen“ ein.
5 Klicken Sie auf „OK“. Kapitel 7 Verwalten von Verzeichnis-Clients 143 8 Erweiterte Einstellungen für
Directory-Clients 8 Verwenden Sie das Programm „Verzeichnisdienste“, um den
Zugriff eines Computers mit Mac OS X oder Mac OS X Server
auf Verzeichnisdienste zu konfigurieren und zu verwalten.
Nach der Konfiguration Ihres Verzeichnisservers können Sie die erweiterten Einstellungen des Programms „Verzeichnisdienste“ für Ihren Computer und Ihre Softwareprogramme anpassen.
Aufgabenbeschreibungen und Anleitungen zum Konfigurieren und Verwalten finden
Sie unter folgenden Themen:
 „Einrichten des Programms „Verzeichnisdienste“ per Fernzugriff auf einem Server“
auf Seite 146
 „Konfigurieren von Aktivierungen für die lokale Verzeichnis-Domain eines Computers“
auf Seite 147
 „Verwenden von erweiterten Einstellungen für Suchpfade“ auf Seite 149
 „Verwenden erweiterter Einstellungen des Programms „Verzeichnisdienste““ auf
Seite 154
 „Verwenden erweiterter Einstellungen für den LDAP-Dienst“ auf Seite 155
 „Verwenden erweiterter Einstellungen des Active Directory-Diensts“ auf Seite 185
 „Festlegen von NIS-Einstellungen“ auf Seite 202
 „Festlegen von Einstellungen für BSD-Konfigurationsdateien“ auf Seite 203 145 Erweiterte Einstellungen des Programms „Verzeichnisdienste“
Mit den erweiterten Funktionen des Programms „Verzeichnisdienste“ können Sie Einträge von NFS-Aktivierungen (auch: Aktivierungspunkte oder Mount Points), Dienste
und Suchpfade konfigurieren. Außerdem können Sie mithilfe des Programms „Verzeichnisdienste“ einen Computer per Fernzugriff konfigurieren.
Nachfolgend werden die erweiterten Einstellungen des Programms „Verzeichnisdienste“ genannt:
 Verzeichnisserver wird verwendet, um einen Client-Computer oder Server per
Fernzugriff zu konfigurieren.
 Aktivierungen wird verwendet, um NFS-Aktivierungen zu konfigurieren, die bei
einem Neustart des Computers aktiviert werden.
 Dienste wird verwendet, um Verzeichnisserver zu konfigurieren, auf die Benutzer
zugreifen können.
 Suchpfad wird verwendet, um festzulegen, wo der Computer nach Anmelde- und
Kontaktinformationen von Benutzern sucht. Einrichten des Programms „Verzeichnisdienste“ per Fernzugriff
auf einem Server
Sie können das Programm „Verzeichnisdienste“ auf Ihrem Computer verwenden, um
den Zugriff von Mac OS X Server auf Verzeichnisdienste einzurichten und zu verwalten.
Gehen Sie wie folgt vor, um die Verzeichnisdienste auf einem entfernten Server
zu konfigurieren:
1 Öffnen Sie das Programm „Verzeichnisdienste“ auf Ihrem Computer und wählen Sie
dann aus dem Menü „Ablage“ die Option „Verbinden“ aus.
2 Geben Sie die folgenden Informationen für die Verbindung und Identifizierung für
den Server ein, der konfiguriert werden soll.
Adresse: Geben Sie den DNS-Namen oder die IP-Adresse des Servers ein, den Sie
konfigurieren möchten.
Benutzername: Geben Sie den Benutzernamen eines Administrators des Servers ein.
Kennwort: Geben Sie das Kennwort für den eingegebenen Benutzernamen ein.
3 Klicken Sie auf „Verbinden“.
4 Klicken Sie auf die Titel „Verzeichnisserver“, „Aktivierungen“, „Dienste“ und „Suchpfad“
und ändern Sie Einstellungen wie erforderlich.
Alle vorgenommenen Änderungen gelten für den entfernten Server, zu dem Sie zuvor
eine Verbindung hergestellt haben.
5 Wählen Sie aus dem Menü „Ablage“ auf Ihrem Computer den Befehl „Trennen“ aus. 146 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Konfigurieren von Aktivierungen für die lokale VerzeichnisDomain eines Computers
Mit dem Programm „Verzeichnisdienste“ können Sie NFS-Aktivierungen (Mount Points)
für Ihren Computer konfigurieren. Bei NFS-Aktivierungen handelt es sich um Netzwerkordner, die von einem NFS-Server bereitgestellt werden. Mithilfe von NFS-Netzwerkordnern können Sie Informationen für eine Benutzergruppe in einem Netzwerk oder für
netzwerkbasierte Benutzerordner bereitstellen.
Wenn Sie NFS-Aktivierungen auf Ihrem Computer mithilfe des Programms „Verzeichnisdienste“ konfigurieren, werden die Aktivierungen beim Start des Computers aktiviert.
NFS-Aktivierungen werden im Bereich „Aktivierungen“ des Programms „Verzeichnisdienste“ aufgeführt. Im Bereich „Aktivierungen“ werden die NFS-URL-Adresse und der
Ort der NFS-Aktivierungen auf dem Computer angezeigt. Hinzufügen einer Aktivierung zur lokalen Verzeichnis-Domain
Vergewissern Sie sich beim Hinzufügen eines NFS-Servers, dass Ihnen die URL-Adresse
des hinzuzufügenden NFS-Servers bekannt ist und Sie Zugriff auf den NFS-Netzwerkordner haben.
Gehen Sie wie folgt vor, um eine Aktivierung hinzuzufügen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“).
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Klicken Sie auf „Erweiterte Einstellungen einblenden“ (falls die erweiterten Einstellungen nicht angezeigt werden).
4 Klicken Sie auf „Aktivierungen“ und danach auf die Taste „Hinzufügen“ (+).
5 Geben Sie die Einstellung für die NFS-Aktivierung wie folgt an:
Geben Sie in das Feld „Entfernte NFS-URL“ die NFS-URL-Adresse ein.
Geben Sie in das Feld „Aktivierungsort“ den Ort der lokalen Aktivierung ein.
Klicken Sie auf das Dreiecksymbol links neben „Erweiterte Aktivierungsparameter“
und geben Sie die gewünschten Parameter ein.
Markieren Sie das Feld „Als Nur-Lesen aktivieren“, um das NFS-Volume nur mit Lesezugriff zu aktivieren.
Soll die NFS-Aktivierung Benutzer-ID-Zugriffsrechte ignorieren, markieren Sie das Feld
„Zugriffsrechte zum Festlegen der Benutzer-ID („set user ID“) ignorieren“. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 147 6 Möchten Sie überprüfen, ob der NFS-Server reagiert, klicken Sie auf „Überprüfen“.
Wenn das Programm „Verzeichnisdienste“ eine Antwort vom NFS-Server erhält, wird
ein Hinweis zur erfolgreichen Kommunikation angezeigt.
Erhält das Programm „Verzeichnisdienste“ keine Antwort vom NFS-Server, können Sie
die Aktivierung durch Klicken auf „Erstellen“ anlegen.
7 Klicken Sie auf „Anwenden“.
Die NFS-Aktivierungen werden im Bereich „Aktivierungen“ des Programms „Verzeichnisdienste“ angezeigt. Entfernen von Aktivierungen aus der lokalen Verzeichnis-Domain
Wenn Sie eine NFS-Aktivierung aus dem Programm „Verzeichnisdienste“ entfernen,
vergewissern Sie sich, dass Sie nicht den Aktivierungseintrag Ihres NFS-Benutzerordners löschen. Wird dieser Eintrag gelöscht, verlieren Sie den Zugriff auf Ihre Daten.
Gehen Sie wie folgt vor, um einen Aktivierungseintrag zu entfernen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“).
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Klicken Sie auf „Erweiterte Einstellungen einblenden“ (falls die erweiterten Einstellungen nicht angezeigt werden).
4 Klicken Sie auf „Aktivierungen“.
5 Wählen Sie aus der Liste „Aktivierungen“ die NFS-Aktivierung aus, die gelöscht
werden soll.
6 Klicken Sie auf die Taste „Löschen“ (–).
7 Wenn Sie sicher sind, dass Sie die richtige NFS-Aktivierung ausgewählt haben, klicken
Sie auf „Löschen“. Bearbeiten einer Aktivierung in der lokalen Verzeichnis-Domain
Sie können die Einstellungen einer vorhandenen NFS-Aktivierung mithilfe des
Programms „Verzeichnisdienste“ ändern.
Gehen Sie wie folgt vor, um eine Aktivierung zu bearbeiten:
1 Öffnen Sie das Programm „Verzeichnisdienste“ (im Ordner „/Programme/Dienstprogramme“).
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Klicken Sie auf „Erweiterte Einstellungen einblenden“ (falls die erweiterten Einstellungen nicht angezeigt werden). 148 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 4 Klicken Sie auf „Aktivierungen“.
5 Wählen Sie aus der Liste „Aktivierungen“ die NFS-Aktivierung aus, die bearbeitet
werden soll.
6 Klicken Sie auf die Taste „Bearbeiten“ (/).
7 Ändern Sie die Einstellungen der NFS-Aktivierung. Verwenden von erweiterten Einstellungen für Suchpfade
Im Programm „Verzeichnisdienste“ sind die folgenden Suchpfade definiert:
 Identifizierung: Mac OS X verwendet den Suchpfad für die Identifizierung, um
Benutzerinformationen zur Identifizierung und andere administrative Daten aufzufinden und aus Verzeichnis-Domains abzurufen.
 Kontakte: Mac OS X verwendet den Suchpfad für Kontakte, um Name, Adresse und
andere Kontaktinformationen aufzufinden und aus Verzeichnis-Domains abzurufen.
Das Mac OS X-Adressbuch nutzt diese Kontaktinformationen. Auch andere Programme
können für die Nutzung dieser Informationen programmiert werden.
Jeder Suchpfad besteht aus einer Liste mit Verzeichnis-Domains. Die Reihenfolge der
Verzeichnis-Domains in der Liste definiert den Suchpfad. Mac OS X durchsucht beginnend vom Anfang der Liste alle aufgeführten Verzeichnis-Domains, bis die gesuchten
Informationen gefunden werden oder das Ende der Liste erreicht ist.
Die Suchpfade für Identifizierung und Kontakte können eine der folgenden Einstellungen aufweisen:
 Automatisch: Beginnt mit der lokalen Verzeichnis-Domain und kann ein von DHCP
bereitgestelltes LDAP-Verzeichnis sowie Verzeichnis-Domains enthalten, mit denen
der Computer verbunden ist. Hierbei handelt es sich um die Standardeinstellung für
Mac OS X 10.2 (oder neuer), die Mobilcomputern die größte Flexibilität bietet.
 Lokales Verzeichnis: Umfasst nur die lokale Verzeichnis-Domain.
 Eigener Pfad: Beginnt mit der lokalen Verzeichnis-Domain und enthält Ihre gewählten LDAP-Verzeichnisse, eine Active Directory-Domain, gemeinsam genutzte Verzeichnis-Domains, BSD-Konfigurationsdateien und eine NIS-Domain.
Wichtig: Wenn Sie Mac OS X für die Verwendung eines Suchpfads für die automatische Identifizierung und eines von DHCP bereitgestellten LDAP-Servers konfigurieren,
erhöhen Sie das Risiko, dass ein unberechtigter Benutzer die Steuerung Ihres Computers übernimmt. Dieses Risiko ist noch höher, wenn Ihr Computer für den Zugang zu
einem drahtlosen Netzwerk konfiguriert ist. Weitere Informationen hierzu finden Sie
im Abschnitt „Schützen von Computern vor unberechtigten Zugriffen über einen
DHCP-Server“ auf Seite 153. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 149 Aufgabenbeschreibungen und Anleitungen finden Sie an folgenden Stellen:
 „Definieren von automatischen Suchpfaden“ auf Seite 150
 „Definieren von eigenen Suchpfaden“ auf Seite 151
 „Definieren von Suchpfaden für das lokale Verzeichnis“ auf Seite 152
 „Warten, bis die Änderung eines Suchpfads wirksam wird“ auf Seite 153 Definieren von automatischen Suchpfaden
Mithilfe des Programms „Verzeichnisdienste“ können Sie die Suchpfade für Identifizierung und Kontakte eines Mac OS X-Computers so konfigurieren, dass sie automatisch
definiert werden.
Ein automatisch definierter Suchpfad enthält die lokale Verzeichnis-Domain. Er kann
auch einen vom DHCP-Dienst angegebenen LDAP-Verzeichnisserver sowie gemeinsam genutzte Verzeichnis-Domains enthalten, mit denen der Computer verbunden ist.
Dies ist die Standardkonfiguration für die Suchpfade für Identifizierung und Kontakte.
Hinweis: Manche Programme, wie die Mac OS X-Programme „Mail“ und „Adressbuch“,
können auf LDAP-Verzeichnisse direkt zugreifen, ohne Open Directory zu verwenden.
Wenn Sie eines dieser Programme für den direkten Zugriff auf LDAP-Verzeichnisse konfigurieren möchten, öffnen Sie das Programm und legen Sie die korrekte Einstellung fest.
Wichtig: Wenn Sie Mac OS X für die Verwendung eines Suchpfads für die automatische Identifizierung sowie eines von DHCP bereitgestellten LDAP-Servers oder einer
von DHCP bereitgestellten gemeinsam genutzten Verzeichnis-Domain konfigurieren,
erhöhen Sie das Risiko, dass ein unberechtigter Benutzer die Steuerung Ihres Computers übernimmt. Dieses Risiko ist noch höher, wenn Ihr Computer für den Zugang zu
einem drahtlosen Netzwerk konfiguriert ist. Weitere Informationen hierzu finden Sie
im Abschnitt „Schützen von Computern vor unberechtigten Zugriffen über einen
DHCP-Server“ auf Seite 153.
Gehen Sie wie folgt vor, um einen Suchpfad automatisch zu definieren:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und wählen Sie einen Suchpfad aus:
 Identifizierung: Zeigt den Suchpfad an, der für die Identifizierung und die meisten
anderen administrativen Daten verwendet wird.
 Kontakte: Zeigt den Suchpfad an, der für Kontaktinformationen in Programmen wie
dem Adressbuch verwendet wird.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben. 150 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 3 Wählen Sie aus dem Einblendmenü „Suchen“ die Einstellung „Automatisch“ aus und
klicken Sie dann auf „Anwenden“.
4 Vergewissern Sie sich, dass in der Systemeinstellung „Netzwerk“ des Computers die
Verwendung von DHCP oder DHCP mit manueller IP-Adresse konfiguriert ist.
5 Damit der automatische Suchpfad einen LDAP-Server umfasst, vergewissern Sie sich,
dass die Verwendung eines von DHCP bereitgestellten LDAP-Verzeichnisses im Programm „Verzeichnisdienste“ aktiviert und der DHCP-Dienst für die Bereitstellung der
Adresse des LDAP-Servers konfiguriert ist.
Weitere Informationen hierzu finden Sie im Abschnitt „Aktivieren oder Deaktivieren
eines von DHCP bereitgestellten LDAP-Verzeichnisses“ auf Seite 156. Informationen
zum Konfigurieren des DHCP-Diensts von Mac OS X Server finden Sie im Handbuch
Netzwerkdienste – Administration. Definieren von eigenen Suchpfaden
Mithilfe des Programms „Verzeichnisdienste“ können Sie die Suchpfade für Identifizierung und Kontakte eines Mac OS X-Computers so konfigurieren, dass sie eine angepasste Liste von Verzeichnis-Domains verwenden.
Eine angepasste Liste beginnt mit der lokalen Verzeichnis-Domain des Computers und
kann Open Directory (und andere LDAP-Verzeichnis-Domains), eine Active DirectoryDomain, gemeinsam genutzte Verzeichnis-Domains, BSD-Konfigurationsdateien und
eine NIS-Domain umfassen.
Ist eine im angepassten Suchpfad eines Computers angegebene Verzeichnis-Domain
nicht verfügbar, kommt es beim Starten des Computers zu einer Verzögerung.
Gehen Sie wie folgt vor, um eine eigene Liste von Verzeichnis-Domains für einen
Suchpfad anzugeben:
1 Klicken Sie im Programm „Verzeichnisdienste“ auf „Suchpfad“ und wählen Sie einen
Suchpfad aus:
 Identifizierung: Zeigt den Suchpfad an, der für die Identifizierung und die meisten
anderen administrativen Daten verwendet wird.
 Kontakte: Zeigt den Suchpfad an, der für Kontaktinformationen in Programmen wie
dem Adressbuch verwendet wird.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie aus dem Einblendmenü „Suchen“ die Einstellung „Eigener Pfad“ aus.
4 Fügen Sie wie erforderlich Verzeichnis-Domains hinzu, indem Sie auf „Hinzufügen“
klicken, ein oder mehr Verzeichnisse auswählen und nochmals auf „Hinzufügen“
klicken. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 151 5 Ändern Sie die Reihenfolge der aufgelisteten Verzeichnis-Domains nach Bedarf, indem
Sie sie in der Liste nach oben oder unten bewegen.
6 Entfernen Sie aufgelistete Verzeichnis-Domains, die nicht im Suchpfad enthalten sein
sollen, indem Sie sie auswählen und auf die Taste „Löschen“ (–) klicken.
7 Bestätigen Sie den Löschvorgang durch Klicken auf „OK“ und klicken Sie dann
auf „Anwenden“.
Möchten Sie ein Verzeichnis hinzufügen, das nicht unter den verfügbaren Verzeichnissen aufgeführt wird, vergewissern Sie sich, dass der Computer für den Zugriff auf das
Verzeichnis konfiguriert wurde. Weitere Informationen hierzu finden Sie in folgenden
Abschnitten:
 „Verwenden erweiterter Einstellungen des Programms „Verzeichnisdienste““ auf
Seite 154
 „Verwenden erweiterter Einstellungen für den LDAP-Dienst“ auf Seite 155
 „Verwenden erweiterter Einstellungen des Active Directory-Diensts“ auf Seite 185
 „Festlegen von NIS-Einstellungen“ auf Seite 202
 „Festlegen von Einstellungen für BSD-Konfigurationsdateien“ auf Seite 203 Definieren von Suchpfaden für das lokale Verzeichnis
Mithilfe des Programms „Verzeichnisdienste“ können Sie die Suchpfade für Identifizierung und Kontakte eines Mac OS X-Computers so konfigurieren, dass nur das lokale
Verzeichnis des Computers verwendet wird.
Ein Suchpfad, der nur das lokale Verzeichnis verwendet, begrenzt den Zugriff, den ein
Computer auf Informationen zur Identifizierung und andere administrative Daten hat.
Wenn Sie den Suchpfad eines Computers zur Identifizierung auf die ausschließliche
Verwendung des lokalen Verzeichnisses beschränken, können sich nur Benutzer mit
lokalen Accounts anmelden.
Gehen Sie wie folgt vor, damit ein Suchpfad nur die lokale Verzeichnis-Domain
(das lokale Verzeichnis) verwendet:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und wählen Sie einen Suchpfad aus:
 Identifizierung: Zeigt den Suchpfad an, der für die Identifizierung und die meisten
anderen administrativen Daten verwendet wird.
 Kontakte: Zeigt den Suchpfad an, der für Kontaktinformationen in Programmen wie
dem Adressbuch verwendet wird.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie aus dem Einblendmenü „Suchen“ die Einstellung „Lokales Verzeichnis“ aus
und klicken Sie dann auf „Anwenden“. 152 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Warten, bis die Änderung eines Suchpfads wirksam wird
Warten Sie nach der Änderung des Suchpfads im Bereich „Identifizierung“ oder „Kontakte“ des Programms „Verzeichnisdienste“ 10 oder 15 Sekunden, bis die Änderung
übernommen wird. Anmeldeversuche mit einem Account aus einer VerzeichnisDomain, die den Suchpfad für die Identifizierung verwendet, sind erst erfolgreich,
wenn die vorgenommenen Änderungen wirksam werden. Schützen von Computern vor unberechtigten Zugriffen über
einen DHCP-Server
Apple empfiehlt, Suchpfade für die automatische Identifizierung mit einem von
DHCP bereitgestellten LDAP-Server oder einer von DHCP bereitgestellten gemeinsam genutzten Verzeichnis-Domain nicht zu verwenden, wenn die Sicherheit in
Ihrer Umgebung eine große Rolle spielt.
Ein Hacker, der unberechtigten Zugriff auf Ihr Netzwerk erhält, kann einen DHCPScheinserver und ein LDAP-Scheinverzeichnis (oder eine gemeinsam genutzte
Schein-Verzeichnis-Domain) verwenden, um Ihren Computer über den root-Benutzer-Account zu steuern.
Damit ein Hacker auf Ihr Netzwerk zugreifen kann, muss der DHCP-Scheinserver des
Hackers Teil Ihres lokalen Netzwerks oder Teilnetzes sein. Wenn Ihr lokales Netzwerk
nur Ihre Computer umfasst und sie über den NAT-Dienst von Mac OS X Server oder
einen NAT-Router auf das Internet zugreifen, ist daher eine solche Sicherheitslücke
nicht möglich. In einem drahtlosen lokalen Netzwerk ist die Sicherheit jedoch geringer, da ein Hacker auf ein drahtloses lokales Netzwerk einfacher zugreifen kann als
auf ein Kabelnetzwerk.
Sie können Ihren Mac vor Angriffen durch einen DHCP-Scheinserver schützen, indem
Sie die Verwendung eines von DHCP bereitgestellten LDAP-Verzeichnisses sowie den
Datenverkehr und die DHCP-Bindung für die lokale Verzeichnis-Domain deaktivieren
(bzw. die lokale Verzeichnis-Domain deaktivieren). Weitere Informationen hierzu finden
Sie im Abschnitt „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAPVerzeichnisses“ auf Seite 156.
Wenn Sie mit einem Mobilcomputer arbeiten, der bei einer bestehenden Verbindung
zu einem Netzwerk eine Verbindung zu einen LDAP-Server herstellt und Sie den Suchpfad des Computers von „Automatisch“ zu „Eigener Pfad“ ändern (im Bereich „Identifizierung“ des Bereichs „Suchpfad“ im Programm „Verzeichnisdienste“), verzögert sich
der Startvorgang, wenn der Computer nicht mit dem Netzwerk verbunden ist.
Der Grund für die Verzögerung liegt darin, dass der Computer keine Verbindung zu
einer bestimmten Verzeichnis-Domain herstellen kann, die im angepassten Suchpfad
des Computers aufgelistet ist. Beim Beenden des Ruhezustands eines Computers, der
während des Ruhezustands vom Netzwerk getrennt wurde, ist keine Verzögerung
zu bemerken. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 153 Verwenden erweiterter Einstellungen des Programms
„Verzeichnisdienste“
Im Programm „Verzeichnisdienste“ werden die verschiedenen Arten von Verzeichnisdiensten aufgeführt, auf die Mac OS X zugreifen kann. Die Liste enthält Verzeichnisdienste, die Mac OS X Zugriff auf Benutzerinformationen und andere, in VerzeichnisDomains gespeicherte administrative Daten geben.
Sie können den Zugriff auf jeden Verzeichnisdienst aktivieren oder deaktivieren. Wenn
Sie einen Dienst im Programm „Verzeichnisdienste“ deaktivieren, greift Mac OS X nicht
mehr auf diesen Verzeichnisdienst zu.
Aufgabenbeschreibungen und Anleitungen finden Sie an folgenden Stellen:
 „Aktivieren oder Deaktivieren des Active Directory-Diensts“ auf Seite 154
 „Aktivieren oder Deaktivieren von LDAP-Verzeichnisdiensten“ auf Seite 154 Aktivieren oder Deaktivieren des Active Directory-Diensts
Mit dem Programm „Verzeichnisdienste“ können Sie die Verwendung von Active
Directory-Diensten aktivieren oder deaktivieren, die von einem Windows-Server
bereitgestellt werden. Active Directory ist der Verzeichnisdienst von Windows 2000Servern und neuer.
Wenn Sie Active Directory-Dienste deaktivieren und Active Directory-Domains Teil
eines angepassten Suchpfads sind, werden sie im Bereich „Identifizierung“ oder „Kontakte“ des Bereichs „Suchpfad“ im Programm „Verzeichnisdienste“ in Rot aufgeführt.
Gehen Sie wie folgt vor, um den Zugriff auf Active Directory zu aktivieren oder
zu deaktivieren:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Aktivieren oder deaktivieren Sie neben „Active Directory“ das Markierungsfeld und
klicken Sie auf „Anwenden“.
Weitere Konfigurationsanleitungen finden Sie im Abschnitt „Verwenden erweiterter
Einstellungen des Active Directory-Diensts“ auf Seite 185. Aktivieren oder Deaktivieren von LDAP-Verzeichnisdiensten
Mit dem Programm „Verzeichnisdienste“ können Sie den Zugriff auf Verzeichnisdienste
aktivieren oder deaktivieren, die mit den LDAP-Versionen 2 und 3 arbeiten. Ein einzelnes Plug-In für das Programm „Verzeichnisdienste“ mit der Bezeichnung „LDAPv3“ bietet Zugriff auf die beiden LDAP-Versionen 2 und 3. 154 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Die von Mac OS X Server bereitgestellten Verzeichnisdienste verwenden LDAPv3,
das auch von vielen anderen Servern eingesetzt wird. LDAPv3 ist ein offener Standard, der häufig in heterogenen Netzwerken aus Macintosh, UNIX und Windows
Systemen verwendet wird. Manche Server verwenden die ältere Version LDAPv2
für Verzeichnisdienste.
Wenn Sie LDAP-Verzeichnisdienste deaktivieren und LDAP-Verzeichnisse Teil eines
angepassten Suchpfads sind, werden sie im Bereich „Identifizierung“ oder „Kontakte“
des Bereichs „Suchpfad“ im Programm „Verzeichnisdienste“ in Rot aufgeführt.
Gehen Sie wie folgt vor, um LDAP-Verzeichnisdienste zu aktivieren oder
zu deaktivieren:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Aktivieren oder deaktivieren Sie neben „LDAPv3“ das Markierungsfeld und klicken Sie
auf „Anwenden“.
Weitere Konfigurationsanleitungen finden Sie im Abschnitt „Verwenden erweiterter
Einstellungen für den LDAP-Dienst“ auf Seite 155. Verwenden erweiterter Einstellungen für den LDAP-Dienst
Sie können einen Server mit Mac OS X Server oder einen Computer mit Mac OS X für
den Zugriff auf bestimmte LDAP-Verzeichnisse, einschließlich des LDAP-Verzeichnisses
eines Mac OS X Server Open Directory-Masters, konfigurieren.
Aufgabenbeschreibungen und Anleitungen finden Sie unter folgenden Themen:
 „Zugreifen auf LDAP-Verzeichnisse mit den Programmen „Mail“ und „Adressbuch““
auf Seite 156
 „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses“
auf Seite 156
 „Ein- oder Ausblenden von Konfigurationen für LDAP-Server“ auf Seite 158
 „Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 158
 „Konfigurieren des manuellen Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 161
 „Ändern einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis“ auf Seite 164
 „Duplizieren einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis“ auf Seite 165
 „Löschen einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis“ auf Seite 168
 „Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis“ auf Seite 169
 „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf Seite 170 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 155 Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
 „Konfigurieren von LDAP-Suchen und -Zuordnungen“ auf Seite 172
„Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175
„Stoppen der vertrauenswürdigen Bindung zu einem LDAP-Verzeichnis“ auf Seite 177
„Ändern des Zeitlimits für Öffnen & Schließen einer LDAP-Verbindung“ auf Seite 178
„Ändern des Zeitlimits für Abfragen einer LDAP-Verbindung“ auf Seite 178
„Ändern der Verzögerungszeit für erneute Versuche einer LDAP-Verbindung“
auf Seite 179
„Ändern des Zeitlimits für eine inaktive LDAP-Verbindung“ auf Seite 179
„Erzwingen von schreibgeschütztem LDAPv2-Zugriff“ auf Seite 180
„Ignorieren von LDAP-Server-Verweisen“ auf Seite 180
„Identifizieren einer LDAP-Verbindung“ auf Seite 181
„Ändern des Kennworts für die Identifizierung einer LDAP-Verbindung“ auf Seite 181
„Zuordnen von „Config“-Datensatzattributen für LDAP-Verzeichnisse“ auf Seite 182
„Bearbeiten der RFC 2307-Zuordnung zum Aktivieren der Benutzererstellung“ auf
Seite 182
„Vorbereiten eines schreibgeschützten LDAP-Verzeichnisses für Mac OS X“ auf Seite 184
„Füllen von LDAP-Verzeichnissen mit Daten für Mac OS X“ auf Seite 184 Zugreifen auf LDAP-Verzeichnisse mit den Programmen „Mail“
und „Adressbuch“
Sie können Mac OS X Mail, Adressbuch und einige ähnliche Programme so konfigurieren, dass sie direkt auf bestimmte LDAP-Verzeichnisse zugreifen, ohne Open Directory
zu verwenden.
Weitere Informationen erhalten Sie, indem Sie Mail öffnen und „Hilfe“ > „Mail-Hilfe“
auswählen oder das Adressbuch öffnen und „Hilfe“ > „Adressbuch-Hilfe“ auswählen
und anschließend nach Hilfeinformationen zu LDAP suchen. Aktivieren oder Deaktivieren eines von DHCP bereitgestellten
LDAP-Verzeichnisses
Mithilfe des Programms „Verzeichnisdienste“ können Sie einen Mac OS X-Computer
so konfigurieren, dass er beim Start die Adresse eines LDAP-Verzeichnisservers abruft.
Mac OS X fordert die Adresse eines LDAP-Verzeichnis-Servers beim DHCP-Server an,
der auch die IP-Adresse des Computers, die Router-Adresse und die Adresse des DNSServers bereitstellt. Mac OS X fügt die von DHCP bereitgestellte Adresse des LDAPServers zum automatischen Suchpfad des Computers hinzu. Der über DHCP bereitgestellte LDAP-Server wird auch (grau) in der Liste der LDAP-Konfigurationen angezeigt. 156 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Weitere Informationen hierzu finden Sie in den Abschnitten „Definieren von automatischen Suchpfaden“ auf Seite 150 und „Ändern einer Konfiguration für den Zugriff auf
ein LDAP-Verzeichnis“ auf Seite 164.
Der Computer lässt sich nicht so konfigurieren, dass er sowohl eine vertrauenswürdige
LDAP-Bindung als auch ein von DHCP bereitgestelltes LDAP-Verzeichnis verwendet. Bei
einer vertrauenswürdigen LDAP-Bindung handelt es sich von Natur aus um eine statische Bindung, bei über DHCP bereitgestelltem LDAP um eine dynamische Bindung.
Weitere Informationen hierzu finden Sie in den Abschnitten „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175 und „Festlegen einer Bindungsrichtlinie für einen Open Directory-Server“ auf Seite 217.
Wichtig: Wenn Sie Mac OS X für die Verwendung eines Suchpfads für die automatische
Identifizierung sowie eines von DHCP bereitgestellten LDAP-Servers oder einer von DHCP
bereitgestellten gemeinsam genutzten Verzeichnis-Domain konfigurieren, erhöhen Sie
das Risiko, dass ein unberechtigter Benutzer die Steuerung Ihres Computers übernimmt.
Dieses Risiko ist noch höher, wenn Ihr Computer für den Zugang zu einem drahtlosen
Netzwerk konfiguriert ist. Weitere Informationen hierzu finden Sie im Abschnitt „Schützen von Computern vor unberechtigten Zugriffen über einen DHCP-Server“ auf Seite 153.
Gehen Sie wie folgt vor, um den automatischen Zugriff auf einen LDAP-Server zu
aktivieren oder zu deaktivieren:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wählen Sie aus dem Einblendmenü „Umgebung“ eine Netzwerkumgebung aus.
Die Option für von DHCP bereitgestellte LDAP-Server kann für jede in der Systemeinstellung „Netzwerk“ gewählte Netzwerkumgebung unabhängig aktiviert oder
deaktiviert werden.
5 Klicken Sie auf „Vom DHCP-Server gelieferte LDAP-Server verwenden, um Suchpfade
zu automatisieren“ und führen Sie einen der folgenden Schritte aus:
 Wenn Sie diese Einstellung deaktivieren, verwendet dieser Computer keinen von
DHCP bereitgestellten LDAP-Verzeichnisserver. Weitere Informationen hierzu finden
Sie im Abschnitt „Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 158.
 Wenn Sie diese Einstellung aktivieren, konfigurieren Sie den Server, der den DHCPDienst für diesen Computer bereitstellt, für die Bereitstellung der Adresse eines
LDAP-Verzeichnisservers. Weitere Informationen hierzu finden Sie im Kapitel zu
DHCP im Handbuch Netzwerkdienste – Administration. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 157 Ein- oder Ausblenden von Konfigurationen für LDAP-Server
Sie können eine Liste verfügbarer Konfigurationen für den Zugriff auf LDAP-Verzeichnisse ein- oder ausblenden. Jede Konfiguration legt fest, wie Open Directory auf ein
LDAP-Verzeichnis zugreift. Wird die Liste angezeigt, können Sie die Einstellungen für
jede LDAP-Konfiguration ändern, die nicht grau dargestellt wird.
Wird eine LDAP-Konfiguration grau dargestellt, wird die Konfiguration von DHCP bereitgestellt, wie im Abschnitt „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten
LDAP-Verzeichnisses“ auf Seite 156 beschrieben.
Gehen Sie wie folgt vor, um verfügbare LDAP-Verzeichniskonfigurationen einoder auszublenden:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Klicken Sie auf „Optionen einblenden“ bzw. „Optionen ausblenden“. Konfigurieren des Zugriffs auf ein LDAP-Verzeichnis
Mithilfe des Programms „Verzeichnisdienste“ können Sie festlegen, wie Mac OS X auf
ein LDAPv3-Verzeichnis zugreift, wenn Sie den DNS-Namen oder die IP-Adresse des
LDAP-Verzeichnisservers kennen.
Wird das Verzeichnis nicht von einem Server bereitgestellt, der eigene Zuordnungen
liefert (etwa Mac OS X Server), muss Ihnen der Suchbeginn und die Vorlage für die
Zuordnung von Mac OS X-Daten zu den Daten des Verzeichnisses bekannt sein.
Unterstützte Zuordnungsvorlagen sind folgende:
 Open Directory-Server für ein Verzeichnis, das das Mac OS X ServerSchema verwendet
 Active Directory für ein Verzeichnis, das von einem Windows 2000- oder
Windows 2003-Server oder neuer bereitgestellt wird
 RFC 2307 für die meisten von UNIX-Servern bereitgestellten Verzeichnisse
Das LDAPv3-Plug-In unterstützt Open Directory-Replikation und Ausfallumschaltung
(Failover) in vollem Umfang. Wenn der Open Directory-Master nicht mehr verfügbar
ist, schaltet das Plug-In auf eine Replik in der Nähe um.
Wenn Sie angepasste Zuordnungen für die Verzeichnisdaten festlegen möchten,
befolgen Sie die Anleitungen im Abschnitt „Konfigurieren des manuellen Zugriffs
auf ein LDAP-Verzeichnis“ auf Seite 161 anstelle der hier genannten Schritte. 158 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Wichtig: Enthält der Name Ihres Computers einen Bindestrich, können Sie möglicherweise nicht auf eine Verzeichnis-Domain wie LDAP oder Active Directory zugreifen bzw.
keine Verbindung dazu herstellen. Verwenden Sie einen Computernamen ohne Bindestrich, um die Verbindung herstellen zu können.
Gehen Sie wie folgt vor, um mithilfe des Programms „Verzeichnisdienste“ den Zugriff
auf ein LDAP-Verzeichnis zu konfigurieren:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
Sie können „LDAPv3“ in der Liste der Dienste auswählen, ohne das Feld „Aktiv“ für
LDAPv3 zu markieren.
4 Klicken Sie auf „Neu“ und geben Sie den DNS-Namen oder die IP-Adresse des LDAPServers ein.
5 Wählen Sie die Optionen für den Zugriff auf das Verzeichnis aus:
 Wählen Sie „Verschlüsselung mit SSL“, wenn Open Directory SSL (Secure Sockets
Layer) für Verbindungen mit dem LDAP-Verzeichnis verwenden soll. Erkundigen
Sie sich vor Auswahl dieser Option bei Ihrem Open Directory-Administrator, ob SSL
erforderlich ist.
 Wählen Sie „Für Identifizierung verwenden“, wenn dieses Verzeichnis BenutzerAccounts enthält, die zur Anmeldung oder Identifizierung bei Diensten verwendet werden.
 Wählen Sie „Für Kontakte verwenden“, wenn dieses Verzeichnis E-Mail-Adressen
und weitere Informationen enthält, die Sie im Adressbuch verwenden möchten.
Wenn das Programm „Verzeichnisdienste“ keine Verbindung zum LDAP-Server herstellen kann, wird eine entsprechende Meldung angezeigt und Sie müssen den Zugriff
manuell konfigurieren oder die Konfiguration abbrechen. Weitere Informationen zu
Anleitungen für die manuelle Konfiguration finden Sie im Abschnitt „Konfigurieren
des manuellen Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 161.
Wenn im erweiterten Dialogfenster Zuordnungsoptionen angezeigt werden, wählen
Sie die Zuordnungsvorlage aus dem Einblendmenü aus, geben das Suffix des Suchbeginns ein und klicken dann auf „Fortfahren“.
Normalerweise wird das Suchbeginn-Suffix vom DNS-Namen des Servers abgeleitet.
Das Suchbeginn-Suffix für einen Server mit dem DNS-Namen „ods.example.com“
könnte etwa „dc=ods,dc=example, dc=com“ lauten.
Gelten keine der verfügbaren Zuordnungsvorlagen für die einzurichtende Verbindung,
klicken Sie auf „Manuell“. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren des manuellen Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 161. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 159 6 Klicken Sie auf „Fortfahren“, damit das Programm „Verzeichnisdienste“ Informationen
vom LDAP-Server abruft.
7 Wird das Dialogfenster erweitert, um Optionen für eine vertrauenswürdige Bindung
anzuzeigen, geben Sie den Namen des Computers sowie Name und Kennwort eines
Verzeichnisadministrators ein (die Bindung ist ggf. optional).
Das Dialogfenster informiert Sie darüber, ob für das LDAP-Verzeichnis eine vertrauenswürdige Bindung erforderlich oder optional ist. Die vertrauenswürdige Bindung
ist beidseitig: Immer wenn sich der Computer mit dem LDAP-Verzeichnis verbindet,
identifizieren sich beide gegenseitig. Wenn die vertrauenswürdige Bindung bereits
konfiguriert ist oder das LDAP-Verzeichnis keine vertrauenswürdigen Bindungen
unterstützt, wird die Taste „Einbinden“ nicht angezeigt. Vergewissern Sie sich, dass
Sie den richtigen Computernamen angegeben haben.
Wenn eine Meldung mit dem Hinweis angezeigt wird, dass ein Computereintrag vorhanden ist, klicken Sie auf „Abbrechen“, um einen Schritt zurückzugehen und den
Computernamen zu ändern. Sie können auch auf „Überschreiben“ klicken, um den
vorhandenen Computereintrag zu ersetzen.
Der vorhandene Computereintrag wird eventuell nicht mehr genutzt oder könnte zu
einem anderen Computer gehören.
Wenn Sie einen vorhandenen Computereintrag ersetzen, informieren Sie den Administrator des LDAP-Verzeichnisses darüber, falls durch das Ersetzen des Eintrags ein anderer Computer deaktiviert wird. In diesem Fall muss der Administrator dem deaktivierten
Computer einen anderen Namen zuweisen und ihn wieder zur entsprechenden Computergruppe hinzufügen.
Weitere Informationen zum Hinzufügen eines Computers zu einer Computergruppe
finden Sie im Kapitel zu Computergruppen im Handbuch Benutzerverwaltung.
8 Wenn das Dialogfenster erweitert wird, um Verbindungsoptionen anzuzeigen, wählen
Sie „Beim Verbindungsaufbau identifizieren“ aus und geben Sie den Namen und das
Kennwort eines Benutzer-Accounts in das Verzeichnis ein.
Die Optionen für eine identifizierte Verbindung werden angezeigt, wenn der LDAPServer eine identifizierte Verbindung, jedoch keine vertrauenswürdige Bindung unterstützt. Die Identifizierung geschieht nicht beidseitig: Der LDAP-Server identifiziert den
Client, der Client identifiziert jedoch nicht den Server.
Die Option „Beim Verbindungsaufbau identifizieren“ ist bereits ausgewählt, wird jedoch
grau angezeigt, wenn Sie für den LDAP-Server Name und Kennwort eines BenutzerAccounts eingeben müssen, um eine identifizierte Verbindung zu erhalten.
Der Name (Distinguished Name) kann jeden Benutzer-Account mit Berechtigung zum
Anzeigen von Daten im Verzeichnis festlegen. Ein Benutzer-Account, dessen Kurzname
auf einem LDAP-Server mit der Adresse „ods.example.com“ beispielsweise „dirauth“
lautet, hat folgenden Namen: uid=dirauth,cn=users,dc=ods,dc=example,dc=com. 160 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Wichtig: Sind Name oder Kennwort falsch, können Sie sich über Benutzer-Accounts aus
dem LDAP-Verzeichnis beim Computer anmelden.
9 Klicken Sie auf „OK“, um die Erstellung einer LDAP-Verbindung abzuschließen.
10 Klicken Sie auf „OK“, um die Konfiguration von LDAPv3-Optionen abzuschließen.
Wenn Sie in Schritt 5 „Für Identifizierung verwenden“ oder „Für Kontakte verwenden“
ausgewählt haben, wird die erstellte LDAP-Verzeichniskonfiguration zu einem angepassten Suchpfad im Bereich „Identifizierung“ oder „Kontakte“ des Programms „Verzeichnisdienste“ hinzugefügt.
Vergewissern Sie sich, dass LDAPv3 im Bereich „Dienste“ aktiviert ist, sodass der Computer die erstellte LDAP-Konfiguration verwendet. Weitere Informationen hierzu finden Sie
im Abschnitt „Aktivieren oder Deaktivieren von LDAP-Verzeichnisdiensten“ auf Seite 154. Konfigurieren des manuellen Zugriffs auf ein LDAP-Verzeichnis
Sie können manuell eine Konfiguration erstellen, die den Zugriff von Mac OS X auf
ein LDAPv3- oder LDAPv2-Verzeichnis festlegt. Ihnen muss der DNS-Name oder die
IP-Adresse des LDAP-Verzeichnisservers bekannt sein.
Falls das Verzeichnis nicht von Mac OS X Server bereitgestellt wird, müssen Sie den
Suchbeginn und die Vorlage zum Zuordnen von Mac OS X-Daten zu den Daten des
Verzeichnisses kennen. Die unterstützten Zuordnungsvorlagen sind folgende:
 Vom Server für ein Verzeichnis, das eigene Zuordnungen und einen eigenen
Suchbeginn angibt, etwa Mac OS X Server
 Open Directory-Server für ein Verzeichnis, das das Mac OS X ServerSchema verwendet
 Active Directory für ein Verzeichnis, das von einem Windows 2000- oder
Windows 2003-Server oder neuer bereitgestellt wird
 RFC 2307 für die meisten von UNIX-Servern bereitgestellten Verzeichnisse
 Eigene für Verzeichnisse, die keine der oben genannten Zuordnungen verwenden
Das LDAPv3-Plug-In unterstützt Open Directory-Replikation und Ausfallumschaltung
(Failover) in vollem Umfang. Wenn der Open Directory-Master nicht mehr verfügbar ist,
schaltet das Plug-In auf eine Replik in der Nähe um.
Wichtig: Enthält der Name Ihres Computers einen Bindestrich, können Sie möglicherweise nicht auf eine Verzeichnis-Domain wie LDAP oder Active Directory zugreifen bzw.
keine Verbindung dazu herstellen. Verwenden Sie einen Computernamen ohne Bindestrich, um die Verbindung herstellen zu können. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 161 Gehen Sie wie folgt vor, um den Zugriff auf ein LDAP-Verzeichnis manuell
zu konfigurieren:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
Sie können „LDAPv3“ in der Liste der Dienste auswählen, ohne das Feld „Aktiv“ für
LDAPv3 zu markieren.
4 Klicken Sie auf „Neu“ und anschließend auf „Manuell“.
5 Geben Sie einen Namen für die Konfiguration ein.
6 Drücken Sie die Tabulatortaste und geben Sie den DNS-Namen oder die IP-Adresse
des Servers ein, der Host des LDAP-Verzeichnisses ist, auf das Sie zugreifen wollen.
7 Klicken Sie neben dem DNS-Namen oder der IP-Adresse auf das Einblendmenü und
wählen Sie eine Zuordnungsvorlage oder -methode aus:
 Bei der Auswahl von „Vom Server“ wird kein Suchbeginn-Suffix benötigt. In diesem
Fall nimmt Open Directory an, dass das Suchbeginn-Suffix die erste Ebene des LDAPVerzeichnisses ist.
 Bei der Auswahl einer Vorlage geben Sie das Suchbeginn-Suffix für das LDAP-Verzeichnis ein und klicken Sie auf „OK“. Sie müssen ein Suchbereich-Suffix eingeben,
ansonsten kann der Computer keine Informationen im LDAP-Verzeichnis finden.
Normalerweise wird das Suchbeginn-Suffix vom DNS-Namen des Servers abgeleitet. Das Suchbeginn-Suffix für einen Server mit dem DNS-Namen „ods.example.com“
könnte etwa „dc=ods,dc=example, dc=com“ lauten.
 Bei der Auswahl von „Eigene“ müssen Sie Zuordnungen zwischen Mac OS X-Datensatztypen und -attributen und den Klassen und Attributen des LDAP-Verzeichnisses
einrichten, zu dem Sie eine Verbindung herstellen. Weitere Informationen hierzu
finden Sie im Abschnitt „Konfigurieren von LDAP-Suchen und -Zuordnungen“ auf
Seite 172.
8 Erkundigen Sie sich vor der Auswahl des Markierungsfelds „Verschlüsselung mit SSL“
bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist. 162 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 9 Wenn Sie die folgenden Einstellungen für diese LDAP-Konfiguration ändern möchten,
klicken Sie auf „Bearbeiten“, um die Optionen für die gewählte LDAP-Konfiguration
anzuzeigen. Nehmen Sie dann Änderungen vor und klicken Sie auf „OK“, wenn Sie mit
der Bearbeitung der LDAP-Konfigurationsoptionen fertig sind.
 Klicken Sie auf „Verbindung“, um Optionen für die Zeitüberschreitung festzulegen,
einen eigenen Port anzugeben, Server-Verweise zu ignorieren oder die Verwendung des LDAPv2-Protokolls (schreibgeschützt) zu erzwingen. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern der Verbindungseinstellungen für ein
LDAP-Verzeichnis“ auf Seite 169.
 Klicken Sie auf „Suche & Pfade“, um Suchvorgänge und Zuordnungen bzw. Pfade für
einen LDAP-Server zu konfigurieren. Weitere Informationen hierzu finden Sie im
Abschnitt „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf
Seite 175.
 Klicken Sie auf „Sicherheit“, um eine identifizierte Verbindung (anstelle einer vertrauenswürdigen Bindung) und andere Optionen für Sicherheitsrichtlinien einzurichten.
Weitere Informationen hierzu finden Sie im Abschnitt „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf Seite 170.
 Klicken Sie auf „Einbinden“, um vertrauenswürdige Bindungen einzurichten (sofern
das LDAP-Verzeichnis dies unterstützt). Weitere Informationen hierzu finden Sie im
Abschnitt „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf
Seite 175.
10 Klicken Sie auf „OK“, um die manuelle Erstellung der Konfiguration für den Zugriff auf
ein LDAP-Verzeichnis abzuschließen.
11 Wenn der Computer auf das LDAP-Verzeichnis zugreifen soll, für das Sie eine Konfiguration erstellt haben, fügen Sie das Verzeichnis zu einem eigenen Suchpfad in den
Bereichen „Identifizierung“ und „Kontakte“ des Bereichs „Suchpfad“ im Programm „Verzeichnisdienste“ hinzu. Vergewissern Sie sich anschließend, dass „LDAPv3“ im Bereich
„Dienste“ aktiviert ist.
Weitere Informationen finden Sie in den Abschnitten „Aktivieren oder Deaktivieren von
LDAP-Verzeichnisdiensten“ auf Seite 154 und „Definieren von eigenen Suchpfaden“ auf
Seite 151.
Hinweis: Damit Sie den Arbeitsgruppenmanager zum Erstellen von Benutzern auf
einem nicht von Apple stammenden LDAP-Server, der RFC 2307-Zuordnungen (UNIX)
verwendet, nutzen können, müssen Sie die Zuordnung des Datensatztyps „Users“ bearbeiten. Weitere Informationen hierzu finden Sie im Abschnitt „Bearbeiten der RFC 2307Zuordnung zum Aktivieren der Benutzererstellung“ auf Seite 182. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 163 Wichtig: Wenn Sie die IP-Adresse und den Computernamen mithilfe des Befehls
changeip ändern, während Sie mit einem Verzeichnisserver verbunden sind, müssen
Sie die Verbindung zum Verzeichnisserver zuerst trennen und dann wieder herstellen. Dadurch wird das Verzeichnis mit dem neuen Computernamen und der neuen
IP-Adresse aktualisiert. Wenn Sie die Verbindung mit Verzeichnisserver nicht trennen
und dann wiederherstellen, wird das Verzeichnis nicht aktualisiert und verwendet
weiterhin den alten Computernamen und die alte IP-Adresse. Ändern einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis
Mit dem Programm „Verzeichnisdienste“ können Sie die Einstellungen einer LDAPVerzeichniskonfiguration ändern. Die Konfigurationseinstellungen legen fest, wie
Open Directory auf ein LDAPv3- oder LDAPv2-Verzeichnis zugreift.
Wenn die LDAP-Konfiguration von DHCP bereitgestellt wurde, lässt sie sich nicht ändern.
Daher wird diese Konfiguration in der Liste der LDAP-Konfigurationen grau dargestellt.
Gehen Sie wie folgt vor, um eine Konfiguration für den Zugriff auf ein LDAP-Verzeichnis zu bearbeiten:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Nehmen Sie wie erforderlich Änderungen an den folgenden Einstellungen vor:
 Aktiv: Klicken Sie auf ein Markierungsfeld, um den Zugriff auf einen LDAP-Verzeichnisserver zu aktivieren oder zu deaktivieren.
 Konfigurations-Name: Wählen Sie einen Konfigurationsnamen durch Doppelklicken
aus, um ihn zu bearbeiten.
 Servername oder IP-Adresse: Wählen Sie einen Servernamen oder eine IP-Adresse
durch Doppelklicken aus, um sie zu ändern.
 LDAP-Pfade: Wählen Sie aus dem Einblendmenü eine Vorlage aus, geben Sie das
Suchbeginn-Suffix für das LDAP-Verzeichnis ein und klicken Sie auf „OK“.
Wenn Sie eine Vorlage auswählen, müssen Sie ein Suchbeginn-Suffix eingeben, da
der Computer sonst keine Informationen im LDAP-Verzeichnis finden kann. Normalerweise wird das Suchbeginn-Suffix vom DNS-Namen des Servers abgeleitet. Für
einen Server mit dem DNS-Namen „ods.example.com“ lautet das Suchbeginn-Suffix
beispielsweise „dc=ods,dc=example,dc=com“.
Wenn Sie anstelle einer Vorlage „Vom Server“ auswählen, wird kein Suchbeginn-Suffix
benötigt. In diesem Fall nimmt Open Directory an, dass das Suchbeginn-Suffix die erste
Ebene des LDAP-Verzeichnisses ist. 164 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Bei der Auswahl von „Eigene“ müssen Sie Zuordnungen zwischen Mac OS X-Datensatztypen und -attributen und den Klassen und Attributen des LDAP-Verzeichnisses einrichten, zu dem Sie eine Verbindung herstellen. Weitere Informationen hierzu finden
Sie im Abschnitt „Konfigurieren von LDAP-Suchen und -Zuordnungen“ auf Seite 172.
 SSL: Klicken Sie auf das Markierungsfeld, um die Verschlüsselung der Kommunikation mit dem SSL-Protokoll zu aktivieren oder zu deaktivieren. Erkundigen Sie sich
vor Auswahl des Markierungsfeld „SSL“ bei Ihrem Open Directory-Administrator, ob
SSL erforderlich ist.
6 Wenn Sie die folgenden Standardeinstellungen für diese LDAP-Konfiguration ändern
möchten, klicken Sie auf „Bearbeiten“, um die Optionen für die gewählte LDAP-Konfiguration anzuzeigen. Nehmen Sie dann Änderungen vor und klicken Sie auf „OK“, wenn
Sie mit der Bearbeitung der LDAP-Konfigurationsoptionen fertig sind.
 Klicken Sie auf „Verbindung“, um Optionen für die Zeitüberschreitung festzulegen,
einen eigenen Port anzugeben, Server-Verweise zu ignorieren oder die Verwendung
des LDAPv2-Protokolls (schreibgeschützt) zu erzwingen. Weitere Informationen hierzu
finden Sie im Abschnitt „Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis“ auf Seite 169.
 Klicken Sie auf „Suche & Pfade“, um Suchvorgänge und Zuordnungen bzw. Pfade
für einen LDAP-Server zu konfigurieren. Weitere Informationen hierzu finden Sie
im Abschnitt „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“
auf Seite 175.
 Klicken Sie auf „Sicherheit“, um eine identifizierte Verbindung (anstelle einer vertrauenswürdigen Bindung) und andere Optionen für Sicherheitsrichtlinien einzurichten.
Weitere Informationen hierzu finden Sie im Abschnitt „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf Seite 170.
 Klicken Sie auf „Einbinden“, um eine vertrauenswürdige Bindung einzurichten.
Klicken Sie auf „Trennen“, um die vertrauenswürdige Bindung zu beenden. (Diese
Tasten werden u. U. nicht angezeigt, wenn das LDAP-Verzeichnis keine vertrauenswürdige Bindung zulässt.) Weitere Informationen hierzu finden Sie im Abschnitt
„Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175.
7 Klicken Sie auf „OK“, um die Änderung der Konfiguration für den Zugriff auf ein LDAPVerzeichnis abzuschließen. Duplizieren einer Konfiguration für den Zugriff auf ein
LDAP-Verzeichnis
Mit dem Programm „Verzeichnisdienste“ können Sie eine Konfiguration duplizieren,
die festlegt, wie Mac OS X auf ein LDAPv3- oder LDAPv2-Verzeichnis zugreift. Nach
dem Duplizieren einer LDAP-Verzeichniskonfiguration können Sie die zugehörigen
Einstellungen ändern, damit sie sich von der Originalkonfiguration unterscheidet. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 165 Gehen Sie wie folgt vor, um eine Konfiguration für den Zugriff auf ein LDAPVerzeichnis zu duplizieren:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Serverkonfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie dann
auf „Duplizieren“.
6 Ändern Sie die Einstellungen der duplizierten Konfiguration:
 Aktiv: Klicken Sie auf ein Markierungsfeld, um den Zugriff auf einen LDAP-Verzeichnisserver zu aktivieren oder zu deaktivieren.
 Konfigurations-Name: Wählen Sie einen Konfigurationsnamen durch Doppelklicken
aus, um ihn zu bearbeiten.
 Servername oder IP-Adresse: Wählen Sie einen Servernamen oder eine IP-Adresse
durch Doppelklicken aus, um sie zu ändern.
 LDAP-Pfade: Wählen Sie eine Vorlage aus dem Einblendmenü aus, geben Sie dann
das Suchbeginn-Suffix für das LDAP-Verzeichnis ein und klicken Sie auf „OK“.
Wenn Sie eine Vorlage auswählen, müssen Sie ein Suchbeginn-Suffix eingeben, da
der Computer sonst keine Informationen im LDAP-Verzeichnis finden kann. Normalerweise wird das Suchbeginn-Suffix vom DNS-Namen des Servers abgeleitet. Für
einen Server mit dem DNS-Namen „ods.example.com“ lautet das Suchbeginn-Suffix
beispielsweise „dc=ods,dc=example,dc=com“.
Wenn Sie anstelle einer Vorlage „Vom Server“ auswählen, wird kein Suchbeginn-Suffix
benötigt. In diesem Fall nimmt Open Directory an, dass das Suchbeginn-Suffix die erste
Ebene des LDAP-Verzeichnisses ist.
Bei der Auswahl von „Eigene“ müssen Sie Zuordnungen zwischen Mac OS X-Datensatztypen und -attributen und den Klassen und Attributen des LDAP-Verzeichnisses einrichten, zu dem Sie eine Verbindung herstellen. Weitere Informationen hierzu finden
Sie im Abschnitt „Konfigurieren von LDAP-Suchen und -Zuordnungen“ auf Seite 172.
 SSL: Klicken Sie auf das Markierungsfeld, um die Verschlüsselung der Kommunikation mit dem SSL-Protokoll zu aktivieren oder zu deaktivieren. Erkundigen Sie sich
vor Auswahl des Markierungsfeld „SSL“ bei Ihrem Open Directory-Administrator, ob
SSL erforderlich ist. 166 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 7 Wenn Sie die folgenden Standardeinstellungen für die duplizierte LDAP-Konfiguration
ändern möchten, klicken Sie auf „Bearbeiten“, um die Optionen anzuzeigen und nehmen
Sie Ihre Änderungen vor. Klicken Sie auf „OK“, wenn Sie mit der Bearbeitung fertig sind:
 Klicken Sie auf „Verbindung“, um eine vertrauenswürdige Bindung einzurichten
(vorausgesetzt, das LDAP-Verzeichnis unterstützt dies), Optionen für die Zeitüberschreitung festzulegen, einen eigenen Port anzugeben, Server-Verweise zu ignorieren oder die Verwendung des LDAPv2-Protokolls (schreibgeschützt) zu erzwingen.
Nähere Anleitungen hierzu finden Sie im Abschnitt „Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis“ auf Seite 169.
 Klicken Sie auf „Suche & Pfade“, um Suchvorgänge und Zuordnungen bzw. Pfade
für einen LDAP-Server zu konfigurieren. Weitere Informationen hierzu finden Sie
im Abschnitt „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“
auf Seite 175.
 Klicken Sie auf „Sicherheit“, um eine identifizierte Verbindung (anstelle einer vertrauenswürdigen Bindung) und andere Optionen für Sicherheitsrichtlinien einzurichten.
Weitere Informationen hierzu finden Sie im Abschnitt „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf Seite 170.
 Klicken Sie auf „Einbinden“, um eine vertrauenswürdige Bindung einzurichten.
Klicken Sie auf „Trennen“, um die vertrauenswürdige Bindung zu stoppen. (Diese
Tasten werden u. U. nicht angezeigt, wenn das LDAP-Verzeichnis keine vertrauenswürdige Bindung zulässt.) Weitere Informationen hierzu finden Sie im Abschnitt
„Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175.
8 Klicken Sie auf „OK“, um das Ändern der duplizierten Konfiguration abzuschließen.
9 Wenn der Computer auf das LDAP-Verzeichnis zugreifen soll, das von der erstellten duplizierten Konfiguration angegeben wird, fügen Sie das Verzeichnis zu einem eigenen Suchpfad im Bereich „Identifizierung“ oder „Kontakte“ des Bereichs „Suchpfad“ im Programm
„Verzeichnisdienste“ hinzu. Vergewissern Sie sich anschließend, dass „LDAPv3“ im Bereich
„Dienste“ aktiviert ist.
Weitere Informationen finden Sie in den Abschnitten „Aktivieren oder Deaktivieren von
LDAP-Verzeichnisdiensten“ auf Seite 154 und „Definieren von eigenen Suchpfaden“ auf
Seite 151. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 167 Löschen einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis
Mit dem Programm „Verzeichnisdienste“ können Sie eine Konfiguration löschen, die
festlegt, wie der Computer auf ein LDAPv3- oder LDAPv2-Verzeichnis zugreift.
Wenn die LDAP-Konfiguration von DHCP bereitgestellt wurde, lässt sie sich nicht ändern.
Daher wird diese Konfiguration in der Liste der LDAP-Konfigurationen grau dargestellt.
Gehen Sie wie folgt vor, um eine Konfiguration für den Zugriff auf ein LDAP-Verzeichnis zu löschen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen
einblenden“.
5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Löschen“.
Klicken Sie dann auf „OK“.
Wenn eine Warnmeldung mit dem Hinweis angezeigt wird, dass der Computer mit
dem LDAP-Verzeichnis verbunden ist und Sie die vertrauenswürdige Bindung trennen möchten, klicken Sie auf „OK“. Geben Sie dann den Namen und das Kennwort
eines LDAP-Verzeichnisadministrators ein (nicht eines lokalen Computeradministrators). Weist eine Warnmeldung darauf hin, dass der Computer den LDAP-Server
nicht erreichen kann, können Sie auf „OK“ klicken, um die vertrauenswürdige Bindung sofort zu trennen.
Wenn Sie die vertrauenswürdige Bindung sofort trennen, bleibt der Computereintrag
des Computers im LDAP-Verzeichnis erhalten. Informieren Sie den LDAP-Verzeichnisadministrator, damit dieser den Computer aus der Computergruppe entfernt.
Weitere Informationen zum Entfernen eines Computers aus dieser Computergruppe
finden Sie im Kapitel zu Computergruppen im Handbuch Benutzerverwaltung.
Die gelöschte Konfiguration wird aus den angepassten Suchpfaden für Identifizierung
und Kontakte entfernt. 168 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Ändern der Verbindungseinstellungen für ein LDAP-Verzeichnis
Mit dem Programm „Verzeichnisdienste“ können Sie die Verbindungseinstellungen
einer Konfiguration ändern, die festlegt, wie der Computer auf ein LDAPv3- oder
LDAPv2-Verzeichnis zugreift.
Gehen Sie wie folgt vor, um die Verbindungseinstellungen für den Zugriff auf ein
LDAP-Verzeichnis zu ändern:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“.
6 Klicken Sie auf „Verbindung“ und ändern Sie beliebige der folgenden Einstellungen:
 Konfigurationsname: Identifiziert diese Konfiguration in der Liste der LDAP-Verzeichniskonfigurationen. (Sie können auch den Namen in der Liste der LDAP-Verzeichniskonfigurationen ändern.)
 Servername oder IP-Adresse: Gibt den DNS-Namen oder die IP-Adresse des Servers
an. (Sie können diese Einstellung auch in der Liste der LDAP-Verzeichniskonfigurationen ändern.)
 Zeitlimit für Öffnen/Schließen: Gibt an, wie lange ein Verbindungsversuch maximal
dauert, bevor er abgebrochen wird.
 Zeitlimit für Abfrage: Gibt an, wie lange eine Abfrage maximal dauert, bevor sie
abgebrochen wird.
 Erneuter Verbindungsversuch nach: Gibt an, wie viele Sekunden vor einem erneuten
Verbindungsversuch gewartet wird, wenn der LDAP-Server nicht reagiert. Erhöhen Sie
diesen Wert, um ständige Verbindungsversuche zu vermeiden.
 Inaktive Verbindung schließen nach: Gibt an, wie viele Minuten eine ungenutzte
oder nicht reagierende Verbindung bestehen bleibt.
 Verschlüsselung mit SSL: Bestimmt, ob die Kommunikation mit dem LDAP-Verzeichnis mithilfe einer SSL-Verbindung verschlüsselt werden soll. (Sie können diese Einstellung auch in der Liste der LDAP-Verzeichniskonfigurationen ändern.) Erkundigen Sie
sich vor Auswahl des Markierungsfeld „SSL“ bei Ihrem Open Directory-Administrator,
ob SSL erforderlich ist. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 169 Â Eigenen Port verwenden: Gibt eine andere Portnummer als die des Standardports
für LDAP-Verbindungen an (389 ohne SSL, 636 mit SSL).
 Verweise des Servers ignorieren: Bestimmt, ob der Verweis eines LDAP-Servers zum
Suchen nach Informationen auf anderen LDAP-Servern oder Repliken ignoriert oder
befolgt werden soll. Serververweise können einen Computer bei der Suche nach Informationen unterstützen, können aber auch die Anmeldung verzögern oder andere Verzögerungen verursachen, wenn der Computer Verweise auf andere LDAP-Server
überprüfen muss.
 LDAPv2 verwenden (schreibgeschützt): Bestimmt, ob das ältere LDAPv2-Protokoll
für den Lesezugriff auf das LDAP-Verzeichnis verwendet werden soll. Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung
Mit dem Programm „Verzeichnisdienste“ können Sie eine strengere Sicherheitsrichtlinie für eine LDAPv3-Verbindung konfigurieren als die Sicherheitsrichtlinie des LDAPVerzeichnisses. Lässt die Sicherheitsrichtlinie des LDAP-Verzeichnisses beispielsweise
unverschlüsselte Kennwörter zu, können Sie für eine LDAPv3-Verbindung festlegen,
dass unverschlüsselte Kennwörter nicht zulässig sind.
Durch das Festlegen einer strengeren Sicherheitsrichtlinie können Sie Ihren Computer
vor unbefugten Zugriffen durch Hacker schützen, die versuchen, über einen illegalen
LDAP-Server die Steuerung Ihres Computers zu übernehmen.
Der Computer muss mit dem LDAP-Server kommunizieren, um den Status der Sicherheitsoptionen anzuzeigen. Wenn Sie die Sicherheitsoptionen für eine LDAPv3-Verbindung ändern, sollte daher der Suchpfad des Computers für die Identifizierung auch
die LDAPv3-Verbindung enthalten.
Die zulässigen Einstellungen der Sicherheitsoptionen einer LDAPv3-Verbindung unterliegen den Sicherheitsfunktionen und -anforderungen des LDAP-Servers. Unterstützt
der LDAP-Server beispielsweise die Kerberos-Identifizierung nicht, sind mehrere Sicherheitsoptionen von LDAPv3-Verbindungen deaktiviert.
Gehen Sie wie folgt vor, um die Sicherheitsoptionen einer LDAPv3-Verbindung
zu ändern:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Suchpfad“.
2 Klicken Sie auf „Identifizierung“ und vergewissern Sie sich, dass das gewünschte
LDAPv3-Verzeichnis im Suchpfad aufgeführt ist.
Weitere Informationen zum Hinzufügen des LDAPv3-Verzeichnisses zum Suchpfad
für Identifizierungen finden Sie im Abschnitt „Definieren von eigenen Suchpfaden“
auf Seite 151.
3 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben. 170 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 4 Klicken Sie auf „Dienste“.
5 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
6 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
7 Wählen Sie die Konfiguration für das gewünschte Verzeichnis aus und klicken Sie
dann auf „Bearbeiten“.
8 Klicken Sie auf „Sicherheit“ und ändern Sie beliebige der folgenden Einstellungen:
Hinweis: Die Sicherheitseinstellungen hier und auf dem entsprechenden LDAP-Server
werden festgelegt, wenn die LDAP-Verbindung eingerichtet wird. Wenn die Servereinstellungen geändert werden, werden diese Einstellungen nicht automatisch aktualisiert.
Sind beliebige der letzten vier Optionen ausgewählt, aber deaktiviert, sind sie für das
LDAP-Verzeichnis erforderlich. Sind beliebige dieser Optionen nicht ausgewählt und
deaktiviert, werden sie vom LDAP-Server nicht unterstützt. Weitere Informationen zum
Festlegen dieser Optionen für ein LDAP-Verzeichnis von Mac OS X Server finden Sie im
Abschnitt „Festlegen einer Sicherheitsrichtlinie für einen Open Directory-Server“ auf
Seite 218.
 Beim Verbindungsaufbau identifizieren: Bestimmt, ob sich die LDAPv3-Verbindung
durch Angabe des festgelegten Namens und Kennworts selbst beim LDAP-Verzeichnis identifiziert. Diese Option ist nicht verfügbar, wenn die LDAPv3-Verbindung eine
vertrauenswürdige Bindung zum LDAP-Verzeichnis nutzt.
 In das Verzeichnis eingebunden als: Gibt die Anmeldedaten an, die die LDAPv3Verbindung für eine vertrauenswürdige Bindung zum LDAP-Verzeichnis nutzt. Diese
Option und die Zertifikate können hier nicht geändert werden. Sie können jedoch
die Bindung trennen und dann mit anderen Zertifikaten erneut herstellen.
Weitere Informationen hierzu finden Sie in den Abschnitten „Stoppen der vertrauenswürdigen Bindung zu einem LDAP-Verzeichnis“ auf Seite 177 und „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“ auf Seite 175.
Diese Option ist nur verfügbar, wenn die LDAPv3-Verbindung eine vertrauenswürdige
Bindung verwendet.
 Kennwörter im Klartext deaktivieren: Bestimmt, ob das Kennwort unverschlüsselt
gesendet werden soll, wenn es nicht mit einer Identifizierungsmethode überprüft
werden kann, die ein unverschlüsseltes Kennwort sendet.
Weitere Informationen hierzu finden Sie in den Abschnitten „Auswählen von Identifizierungsmethoden für Benutzer von „Shadow“-Kennwörtern“ auf Seite 130 und „Auswählen von Identifizierungsmethoden für Open Directory-Kennwörter“ auf Seite 131. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 171 Â Alle Pakete digital signieren (Kerberos erforderlich): Stellt sicher, dass die Verzeichnisdaten vom LDAP-Server nicht von einem anderen Computer abgefangen und geändert wurden, während sie an Ihren Computer gesendet wurden.
 Alle Pakete verschlüsseln (SSL oder Kerberos erforderlich): Sorgt dafür, dass der
LDAP-Server Verzeichnisdaten mithilfe von SSL oder Kerberos verschlüsselt, bevor
er sie an Ihren Computer sendet. Erkundigen Sie sich vor der Auswahl des Markierungsfelds „Alle Pakete verschlüsseln (SSL oder Kerberos erforderlich)“ bei Ihrem
Open Directory-Administrator, ob SSL erforderlich ist.
 Man-in-the-Middle Angriffe blockieren (Kerberos erforderlich) Bietet Schutz vor
einem illegalen Server, der sich als LDAP-Server ausgibt. Diese Option sollte für optimale Ergebnisse gemeinsam mit der Option „Alle Pakete digital signieren“ verwendet werden. Konfigurieren von LDAP-Suchen und -Zuordnungen
Mit dem Programm „Verzeichnisdienste“ können Sie die Zuordnungen, Suchbeginne
und Suchbereiche bearbeiten, die angeben, wie Mac OS X bestimmte Datenobjekte in
einem LDAP-Verzeichnis findet. Sie können diese Einstellungen für jede LDAP-Verzeichniskonfiguration im Programm „Verzeichnisdienste“ separat bearbeiten. Jede LDAP-Verzeichniskonfiguration gibt an, auf welche Weise Mac OS X auf Daten in einem LDAPv3oder LDAPv2-Verzeichnis zugreift.
Sie können Folgendes bearbeiten:
 Die Zuordnung jedes Mac OS X-Datensatztyps zu einer oder mehreren LDAPObjektklassen
 Die Zuordnung von Mac OS X-Datentypen oder Attributen zu LDAP-Attributen für
jeden Datensatztyp
 Der LDAP-Suchbeginn und Suchbereich, der bestimmt, wo Mac OS X nach einem
Mac OS X-Datensatztyp in einem LDAP-Verzeichnis sucht
Beim Zuordnen von Mac OS X-Benutzerattributen zu einer les-/schreibbaren LDAPVerzeichnis-Domain (die nicht schreibgeschützt ist) darf das zu „RealName“ zugeordnete LDAP-Attribut nicht identisch sein mit dem ersten Attribut in einer Liste von
LDAP-Attributen, die „RecordName“ zugeordnet ist.
Zum Beispiel darf das Attribut „cn“ nicht das erste zu „RecordName“ zugeordnete
Attribut sein, wenn „cn“ auch „RealName“ zugeordnet ist.
Entspricht das „RealName“ zugeordnete LDAP-Attribut dem ersten Attribut, das
„RecordName“ zugeordnet ist, treten beim Bearbeiten des vollständigen Namens
(Langname) oder des ersten Kurznamens im Arbeitsgruppenmanager Probleme auf.
Weitere Informationen zu Mac OS X-Datensatztypen und -attributen finden Sie im
Anhang „Mac OS X-Verzeichnisdaten“ 172 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Gehen Sie wie folgt vor, um die Suchbeginne und Zuordnungen für einen LDAPServer zu bearbeiten:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Klicken Sie auf „Dienste“.
4 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
5 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
6 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“.
7 Klicken Sie auf „Suche & Pfade“.
8 Wählen Sie die Zuordnungen aus, die Sie als Ausgangspunkt verwenden möchten.
Andernfalls wählen Sie „Eigene“, um ohne vordefinierte Zuordnungen zu beginnen.
Wenn Sie eine der LDAP-Zuordnungsvorlagen auswählen, wird ein Suchbeginn-Suffix
angezeigt, das sich ändern lässt. Sie können auch das standardmäßige SuchbeginnSuffix übernehmen, indem Sie auf „OK“ klicken.
Klicken Sie auf das Einblendmenü „Zugriff auf diesen LDAPv3-Server über“ und wählen
Sie eine Zuordnungsvorlage aus, deren Zuordnungen als Ausgangspunkt verwendet
werden soll.
9 Fügen Sie Datensatztypen hinzu und ändern Sie deren Suchbeginn wie erforderlich:
 Wenn Sie Datensatztypen hinzufügen möchten, klicken Sie auf „Hinzufügen“ (unter
der Liste der Datensatztypen und -attribute). Wählen Sie im daraufhin angezeigten
Fenster „Datensatztypen“ aus, wählen Sie einen oder mehrere Datensatztypen in der
Liste aus und klicken Sie dann auf „OK“.
 Wenn Sie den Suchbeginn und Suchbereich eines Datensatztyps ändern möchten,
wählen Sie ihn in der Liste der Datensatztypen und -attribute aus. Bearbeiten Sie
anschließend das Feld „Suchbeginn“. Wählen Sie „In allen Zweigen“ aus, damit der
Suchbereich die Hierarchie des LDAP-Verzeichnisses vom Suchbeginn nach unten
umfasst. Wählen Sie „Nur in erster Ebene“ aus, damit nur der Suchbeginn und eine
Ebene darunter in der Hierarchie des LDAP-Verzeichnisses durchsucht wird.
 Zum Entfernen eines Datensatztyps wählen Sie in der Liste der Datensatztypen und
-attribute den jeweiligen Typ aus und klicken Sie auf „Löschen“. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 173 Â Zum Hinzufügen einer Zuordnung für einen Datensatztyp wählen Sie den Datensatztyp aus der Liste der Datensatztypen und -attribute aus und klicken dann auf „Hinzufügen“ (unter „Umleiten auf __ Objekte in der Liste“). Geben Sie nun den Namen einer
Objektklasse aus dem LDAP-Verzeichnis ein. Zum Hinzufügen einer weiteren LDAPObjektklasse drücken Sie den Zeilenschalter und geben Sie den Namen der Objektklasse ein. Legen Sie fest, ob alle oder eine beliebige Auswahl der aufgeführten LDAPObjektklassen verwendet werden soll, indem Sie die entsprechend Einstellung aus
dem Einblendmenü über der Liste auswählen.
 Zum Ändern der Zuordnung für einen Datensatztyp wählen Sie den Datensatztyp
in der Liste der Datensatztypen und -attribute aus. Anschließend wählen Sie die zu
ändernde LDAP-Objektklasse aus dem Einblendmenü „Umleiten auf __ beliebige
Objekte in der Liste“ durch Doppelklicken aus und bearbeiten sie. Geben Sie mithilfe des Einblendmenüs über der Liste an, ob alle oder nur einige der aufgeführten LDAP-Objektklassen verwendet werden sollen.
 Zum Entfernen einer Zuordnung für einen Datensatztyp wählen Sie den Datensatztyp in der Liste der Datensatztypen und -attribute aus. Anschließend wählen Sie die
zu entfernende LDAP-Objektklasse aus dem Einblendmenü „Umleiten auf __ Objekte
in der Liste“ aus und klicken auf „Löschen“ (unter diesem Einblendmenü).
10 Fügen Sie Attribute hinzu und ändern Sie deren Zuordnungen wie erforderlich:
 Zum Hinzufügen von Attributen zu Datensatztypen wählen Sie den Datensatztyp
in der Liste der Datensatztypen und -attribute aus und klicken Sie auf „Hinzufügen“
(unter dieser Liste). Wählen Sie im daraufhin angezeigten Fenster „Datensatztypen“
einen oder mehrere Attributtypen aus und klicken Sie auf „OK“.
 Zum Hinzufügen einer Zuordnung für ein Attribut wählen Sie das Attribut in der
Liste der Datensatztypen und -attribute aus, klicken auf „Hinzufügen“ (unter „Umleiten auf __ Objekte in der Liste“) und geben Sie den Namen eines Attributs aus dem
LDAP-Verzeichnis ein. Zum Hinzufügen eines weiteren LDAP-Attributs drücken Sie
den Zeilenschalter und geben den Namen des Attributs ein.
 Zum Ändern der Zuordnung für ein Attribut wählen Sie das Attribut in der Liste der
Datensatztypen und -attribute aus. Anschließend wählen Sie das zu ändernde Objekt
aus dem Einblendmenü „Umleiten auf __ beliebige Objekte in der Liste“ durch Doppelklicken aus und bearbeiten den Namen des Objekts.
 Zum Entfernen einer Zuordnung für ein Attribut wählen Sie das Attribut in der Liste
der Datensatztypen und -attribute aus. Anschließend wählen Sie das zu entfernende
Objekt aus dem Einblendmenü „Umleiten auf __ Objekte in der Liste“ aus und klicken
auf „Löschen“ (unter diesem Einblendmenü).
 Zum Ändern der Reihenfolge von Attributen in der Liste auf der rechten Seite bewegen Sie die Attribute in der Liste nach oben oder unten. 174 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 11 Zum Sichern Ihrer Zuordnungen als eine Vorlage klicken Sie auf „Vorlage sichern“.
Am Standardspeicherort gesicherte Vorlagen werden in Einblendmenüs von LDAPZuordnungsvorlagen aufgelistet, wenn Sie das Programm „Verzeichnisdienste“ das
nächste Mal öffnen. Der Standardspeicherort für gesicherte Vorlagen befindet sich
an folgendem Pfad in Ihrem Benutzerordner:
~/Library/Application Support/Directory Utility/LDAPv3/Templates
12 Möchten Sie die Zuordnungen so im LDAP-Verzeichnis speichern, dass das Verzeichnis sie automatisch Clients zur Verfügung stellen kann, klicken Sie auf „Auf Server
schreiben“. Geben Sie einen Suchbeginn zum Speichern der Zuordnungen ein,
einen Namen eines Administrators oder anderen Benutzers mit Schreibzugriff für
den Suchbeginn (z. B. uid=diradmin,cn=users,dc=ods,dc=example,dc=com) sowie
ein Kennwort.
Wenn Sie Zuordnungen auf einen Open Directory-LDAP-Server schreiben, lautet der
richtige Suchbeginn „cn=config, Suffix“ (dabei steht Suffix für das Suchbeginn-Suffix
des Servers, wie z. B. „dc=ods,dc=example,dc=com“).
Das LDAP-Verzeichnis stellt seine Zuordnungen Mac OS X Clients zur Verfügung, deren
eigene Suchpfade eine Verbindung umfassen, die für das Abrufen von Zuordnungen
vom LDAP-Server konfiguriert wurde. Das LDAP-Verzeichnis stellt seine Zuordnungen
auch allen Mac OS X Clients zur Verfügung, die über einen automatischen Suchpfad
verfügen. Weitere Informationen finden Sie in den Abschnitten „Konfigurieren des
Zugriffs auf ein LDAP-Verzeichnis“ auf Seite 158 und „Verwenden von erweiterten Einstellungen für Suchpfade“ auf Seite 149. Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis
Mit dem Programm „Verzeichnisdienste“ können Sie eine vertrauenswürdige Bindung
zwischen dem Computer und einem LDAP-Verzeichnis mit Unterstützung für vertrauenswürdige Bindungen einrichten. Die Bindung wird durch einen identifizierten Computereintrag, der beim Einrichten der vertrauenswürdigen Bindung im Verzeichnis
erstellt wird, beidseitig authentifiziert.
Der Computer lässt sich nicht so konfigurieren, dass er eine vertrauenswürdige LDAPBindung und ein von DHCP bereitgestelltes LDAP-Verzeichnis verwendet. Eine vertrauenswürdige Bindung ist immer statisch, ein von DHCP bereitgestelltes LDAP-Verzeichnis ist dagegen dynamisch.
Weitere Informationen hierzu finden Sie in den Abschnitten „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses“ auf Seite 156 und „Festlegen
einer Bindungsrichtlinie für einen Open Directory-Server“ auf Seite 217. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 175 Gehen Sie wie folgt vor, um eine vertrauenswürdige Bindung an ein LDAP-Verzeichnis einzurichten:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Wählen Sie die gewünschte Serverkonfiguration aus und klicken Sie auf „Bearbeiten“.
6 Klicken Sie auf „Einbinden“, geben Sie die folgenden Anmeldedaten ein und klicken
Sie dann auf „OK“.
Geben Sie den Namen des Computers sowie den Namen und das Kennwort eines
Administrators der LDAP-Verzeichnis-Domain ein. Der Computername darf nicht von
einem anderen Computer für vertrauenswürdige Bindungen oder andere Netzwerkdienste verwendet werden.
Wird die Taste „Einbinden“ nicht angezeigt, unterstützt das LDAP-Verzeichnis keine
vertrauenswürdige Bindung.
7 Überprüfen Sie, dass Sie den richtigen Computernamen angegeben haben.
Wenn eine Meldung mit dem Hinweis angezeigt wird, dass ein Computereintrag vorhanden ist, klicken Sie auf „Abbrechen“, um einen Schritt zurückzugehen und den
Computernamen zu ändern. Sie können auch auf „Überschreiben“ klicken, um den
vorhandenen Computereintrag zu ersetzen.
Der vorhandene Computereintrag wird eventuell nicht mehr genutzt oder gehört zu
einem anderen Computer. Wenn Sie einen vorhandenen Computereintrag ersetzen,
informieren Sie den Administrator des LDAP-Verzeichnisses darüber, falls durch das
Ersetzen des Eintrags ein anderer Computer deaktiviert wird.
In einer solchen Situation muss der LDAP-Verzeichnis-Administrator dem deaktivierten
Computer einen anderen Namen zuweisen und ihn unter Verwendung eines anderen
Namens zur Computergruppe hinzufügen, der er angehörte.
Weitere Informationen zum Hinzufügen eines Computers zu einer Computergruppe
finden Sie im Kapitel zu Computergruppen im Handbuch Benutzerverwaltung.
8 Klicken Sie auf „OK“, um die Konfiguration der vertrauenswürdigen Bindung
abzuschließen. 176 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Stoppen der vertrauenswürdigen Bindung zu einem LDAP-Verzeichnis
Mit dem Programm „Verzeichnisdienste“ können Sie die vertrauenswürdige Bindung
zwischen einem Computer und einem LDAP-Verzeichnis stoppen, das vertrauenswürdige Bindungen zulässt, aber nicht benötigt.
Gehen Sie wie folgt vor, um die vertrauenswürdige Bindung zu einem LDAPVerzeichnis zu trennen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, klicken Sie darauf und geben Sie Name und
Kennwort eines Administrators ein.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Wählen Sie die gewünschte Serverkonfiguration aus und klicken Sie auf „Bearbeiten“.
6 Klicken Sie auf „Trennen“, geben Sie die folgenden Anmeldedaten ein und klicken Sie
dann auf „OK“.
Geben Sie den Namen und das Kennwort eines Administrators des LDAP-Verzeichnisses an (nicht die eines lokalen Administrators des Computers).
Wurde auf diesem Computer keine vertrauenswürdige Bindung eingerichtet, wird die
Taste „Trennen“ nicht angezeigt.
Wird eine Warnmeldung mit dem Hinweis angezeigt, dass der Computer nicht mit
dem LDAP-Server kommunizieren kann, klicken Sie auf „OK“, wenn Sie die vertrauenswürdige Bindung sofort trennen möchten.
Wenn Sie die vertrauenswürdige Bindung sofort trennen, bleibt der Computereintrag
des Computers im LDAP-Verzeichnis erhalten. Informieren Sie den LDAP-Verzeichnisadministrator, damit dieser den Computer aus der Computergruppe entfernt.
Weitere Informationen zum Entfernen eines Computers aus dieser Computergruppe
finden Sie im Kapitel zu Computergruppen im Handbuch Benutzerverwaltung.
7 Klicken Sie auf „OK“, um das Trennen der vertrauenswürdigen Bindung abzuschließen. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 177 Ändern des Zeitlimits für Öffnen & Schließen einer LDAP-Verbindung
Mit dem Programm „Verzeichnisdienste“ können Sie festlegen, wie lange das Programm
wartet, bevor es einen Verbindungsversuch zum LDAP-Server abbricht.
Gehen Sie wie folgt vor, um das Zeitlimit für Öffnen und Schließen einer LDAPVerbindung zu ändern:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“.
6 Klicken Sie auf „Verbindung“ und geben Sie dann einen Wert für „Zeitlimit für Öffnen/
Schließen“ ein.
Der Standardwert beträgt 15 Sekunden. Ändern des Zeitlimits für Abfragen einer LDAP-Verbindung
Mit dem Programm „Verzeichnisdienste“ können Sie festlegen, wie lange das Programm wartet, bevor es eine an das LDAP-Verzeichnis gesendete Abfrage abbricht.
Gehen Sie wie folgt vor, um das Zeitlimit für Abfragen einer LDAP-Verbindung
festzulegen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“.
6 Klicken Sie auf „Verbindung“ und geben Sie dann einen Wert für „Zeitlimit für Abfrage“ ein.
Der Standardwert beträgt 120 Sekunden. 178 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Ändern der Verzögerungszeit für erneute Versuche einer
LDAP-Verbindung
Mit dem Programm „Verzeichnisdienste“ können Sie festlegen, wie lange vor einem
erneuten Verbindungsversuch gewartet wird, wenn ein LDAP-Server nicht reagiert. Sie
können diesen Wert erhöhen, um kontinuierliche Verbindungsversuche zu verhindern.
Gehen Sie wie folgt vor, um die Verzögerung für erneute Verbindungsversuche mit
inaktiven LDAP-Clients festzulegen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“.
6 Klicken Sie auf „Verbindung“ und geben Sie einen Wert für „Erneuter Verbindungsversuch nach __ Sekunden“ ein.
Der Standardwert beträgt 120 Sekunden. Ändern des Zeitlimits für eine inaktive LDAP-Verbindung
Mit dem Programm „Verzeichnisdienste“ können Sie festlegen, wie lange eine LDAPVerbindung inaktiv bleiben kann, bis das Programm die Verbindung trennt. Sie können diese Einstellung anpassen, um die Anzahl der geöffneten Verbindungen auf dem
LDAP-Server zu verringern.
Gehen Sie wie folgt vor, um das Zeitlimit für eine inaktive LDAP-Verbindung
festzulegen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“.
6 Klicken Sie auf „Verbindung“ und geben Sie einen Wert für „Zeitlimit für Verbindung“ ein.
Der Standardwert beträgt 1 Minute. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 179 Erzwingen von schreibgeschütztem LDAPv2-Zugriff
Mit dem Programm „Verzeichnisdienste“ können Sie mithilfe von LDAPv2 eine Verbindung zu einem LDAP-Server erzwingen. Diese erzwungene LDAPv2-Verbindung ist
schreibgeschützt und verwendet kein SSL.
Gehen Sie wie folgt vor, um einen schreibgeschützten LDAPv2-Zugang zu einem
LDAP-Server zu erzwingen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Wählen Sie in der Liste die Serverkonfiguration aus und klicken Sie auf „Bearbeiten“.
6 Klicken Sie auf „Verbindung“ und wählen Sie dann „LDAPv2 verwenden
(schreibgeschützt)“. Ignorieren von LDAP-Server-Verweisen
Mit dem Programm „Verzeichnisdienste“ können Sie festlegen, ob der Computer den
Verweis eines LDAP-Servers ignoriert oder befolgt, um auf anderen LDAP-Servern oder
-Repliken nach Informationen zu suchen.
Serververweise können einen Computer bei der Suche nach Informationen unterstützen, können aber auch die Anmeldung verzögern oder andere Verzögerungen verursachen, wenn der Computer Verweise auf andere LDAP-Server überprüfen muss.
Gehen Sie wie folgt vor, um festzulegen, ob Verweise eines LDAP-Servers ignoriert
werden sollen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“.
6 Klicken Sie auf „Verbinden“ und wählen Sie „Verweise des Servers ignorieren“. 180 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Identifizieren einer LDAP-Verbindung
Mit dem Programm „Verzeichnisdienste“ können Sie eine identifizierte Verbindung zu
einem LDAP-Verzeichnis einrichten. Diese Identifizierung erfolgt einseitig. Der Computer identifiziert sich bei einem LDAP-Verzeichnis, das LDAP-Verzeichnis identifiziert sich
jedoch nicht beim Computer. Informationen über die beidseitige Identifizierung finden
Sie im Abschnitt „Einrichten vertrauenswürdiger Bindungen für ein LDAP-Verzeichnis“
auf Seite 175.
Hinweis: Besteht zwischen dem Computer und dem LDAP-Verzeichnis eine vertrauenswürdige Bindung, wäre eine identifizierte Verbindung überflüssig und kann aus diesem
Grund nicht hergestellt werden.
Gehen Sie wie folgt vor, um eine identifizierte LDAPv3-Verbindung einzurichten:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“.
6 Klicken Sie auf „Sicherheit“.
7 Wählen Sie „Beim Verbindungsaufbau identifizieren“ und geben Sie dann den Namen
(Distinguished Name) und das Kennwort eines Benutzers ein.
Der Name kann jeden Benutzer-Account mit Berechtigung zum Anzeigen von Daten im
Verzeichnis festlegen. Ein Benutzer-Account, dessen Kurzname auf einem LDAP-Server
mit der Adresse „ods.example.com“ beispielsweise „authenticator“ lautet, hat folgenden
Namen: uid=authenticator,cn=users,dc=ods,dc=example,dc=com.
Wichtig: Sind Name oder Kennwort falsch, kann sich niemand über Benutzer-Accounts
aus dem LDAP-Verzeichnis beim Computer anmelden. Ändern des Kennworts für die Identifizierung einer LDAP-Verbindung
Mit dem Programm „Verzeichnisdienste“ können Sie eine identifizierte LDAP-Verbindung
aktualisieren, sodass diese ein Kennwort verwendet, das auf dem LDAP-Server geändert
wurde. (Alle Computer mit identifizierten Verbindungen zu einem LDAP-Server müssen
aktualisiert werden, wenn das zum Identifizieren der LDAP-Verbindung verwendete
Kennwort auf dem Server geändert wird.) Kapitel 8 Erweiterte Einstellungen für Directory-Clients 181 Gehen Sie wie folgt vor, um das Kennwort für eine LDAP-Verbindung zu ändern:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen einblenden“.
5 Wählen Sie in der Liste eine Serverkonfiguration aus und klicken Sie auf „Bearbeiten“.
6 Klicken Sie auf „Sicherheit“ und ändern Sie die Einstellung „Kennwort“:
 Wenn die Einstellung „Kennwort“ grau dargestellt wird, da die Option „Beim Verbindungsaufbau identifizieren“ nicht ausgewählt ist, lesen Sie die Informationen unter
„Identifizieren einer LDAP-Verbindung“ auf Seite 181.
 Wenn die Einstellung „Kennwort“ grau dargestellt wird, da „In das Verzeichnis eingebunden als“ ausgewählt (aber grau dargestellt) ist, ist die Verbindung nicht mit
einem Benutzerkennwort identifiziert. Stattdessen verwendet die Verbindung
einen identifizierten Computereintrag für die vertrauenswürdige Bindung. Zuordnen von „Config“-Datensatzattributen für LDAP-Verzeichnisse
Wenn Sie Informationen für verwaltete Mac OS X-Benutzer in einem Nicht-Apple-LDAPVerzeichnis speichern möchten, müssen Sie die folgenden Attribute von Config-Datensatztypen zuweisen: „RealName“ und „DataStamp“.
Weisen Sie diese Attribute nicht zu, wird die folgende Fehlermeldung angezeigt, wenn
Sie mit dem Arbeitsgruppenmanager einen Benutzereintrag ändern, der sich im LDAPVerzeichnis befindet:
Das Attribut „dsRecTypeStandard:Config“ hat keine Zuordnung.
Sie können diese Meldung ignorieren, wenn Sie die Mac OS X Client-Verwaltung nicht
verwenden, die von den Attributen „RealName“ und „DataStamp“ des Datensatztyps
„Config“ für einen Cache abhängig ist. Bearbeiten der RFC 2307-Zuordnung zum Aktivieren der
Benutzererstellung
Damit Sie mit dem Programm „Arbeitsgruppenmanager“ Benutzer auf einem nicht von
Apple stammenden Verzeichnis-Server erstellen können, der RFC 2307-Zuordnungen
(UNIX) verwendet, müssen Sie die Zuordnung des Datensatztyps „Users“ bearbeiten.
Hierzu verwenden Sie das Programm „Verzeichnisdienste“. 182 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Gehen Sie wie folgt vor, um die Erstellung von Benutzereinträgen in einem LDAPVerzeichnis mit RFC 2307-Zuordnungen zu aktivieren:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Wenn die Liste der Server-Konfigurationen ausgeblendet ist, klicken Sie auf „Optionen
einblenden“.
5 Wählen Sie die Verzeichniskonfiguration mit RFC 2307-Zuordnungen aus. Klicken Sie
dann auf „Bearbeiten“.
6 Klicken Sie auf „Suche & Pfade“.
7 Wählen Sie in der Liste auf der linken Seite „Users“ aus.
Für „Umleiten auf __ Objekte in der Liste“ ist standardmäßig „beliebige“ ausgewählt und
die Liste auf der rechten Seite enthält die Einträge „posixAccount“, „inetOrgPerson“ und
„shadowAccount“.
8 Wählen Sie für „Umleiten auf __ Objekte in der Liste“ die Einstellung „alle“ aus und ändern
Sie dann die Liste auf der rechten Seite so, dass dort die Reihe der LDAP-Objektklassen
aufgeführt wird, denen der Datensatztyp „Users“ zugeordnet werden soll.
Sie könnten beispielsweise „shadowAccount“ aus der Liste löschen, sodass „Users“ nur
„posixAccount“ und „inetOrgPerson“ zugeordnet wird. Alternativ könnten Sie „Users“
den Einträgen „account“, „posixAccount“ und „shadowAccount“ zuordnen.
Wählen Sie ein Objekt in der Liste durch Doppelklicken aus, um es zu ändern. Klicken
Sie auf „Hinzufügen“, um ein Objekt zur Liste hinzuzufügen. Klicken Sie auf „Löschen“,
um das ausgewählte Objekt aus der Liste zu löschen. Bewegen Sie Objekte in der Liste
nach oben oder unten, um die Reihenfolge aufgelisteter Objekte zu ändern. Sie können die Objektklassen von Benutzereinträgen im LDAP-Verzeichnis ermitteln, indem
Sie den UNIX-Befehl ldapsearch im Programm „Terminal“ verwenden. Der folgende
Code findet beispielsweise Objektklassen für einen Benutzereintrag, dessen cn-Attribut „Leonardo da Vinci:“ lautet:
$ ldapsearch -x -h ldapserver.example.com -b "dc=example, dc=com"
'cn=Leonardo da Vinci' objectClass Die für dieses Beispiel angezeigte Ausgabe lautete wie folgt:
# Leonardo da Vinci, example.com
dn: cn=Leonardo da Vinci, dc=example, dc=com
objectClass: inetOrgPerson
objectClass: posixAccount Kapitel 8 Erweiterte Einstellungen für Directory-Clients 183 Vorbereiten eines schreibgeschützten LDAP-Verzeichnisses für Mac OS X
Wenn ein Mac OS X-Computer administrative Daten von einem schreibgeschützten
LDAP-Verzeichnis erhalten soll, müssen die Daten in dem von Mac OS X benötigten
Format vorliegen. Sie müssen u. U. Daten im schreibgeschützten LDAP-Verzeichnis
hinzufügen, ändern oder neu anordnen.
Da Mac OS X keine Daten in ein schreibgeschütztes Verzeichnis schreiben kann,
müssen Sie die Änderungen mit anderen Werkzeugen vornehmen. Die verwendeten Werkzeuge müssen sich auf dem Server befinden, der das schreibgeschützte
LDAP-Verzeichnis bereitstellt.
Gehen Sie wie folgt vor, um ein schreibgeschütztes LDAP-Verzeichnis für Mac OS X
vorzubereiten:
1 Begeben Sie sich zu dem Server, der Host des schreibgeschützten LDAP-Verzeichnisses
ist. Konfigurieren Sie den Server so, dass er die LDAP-basierte Identifizierung und Kennwortüberprüfung unterstützt.
2 Ändern Sie die Objektklassen und Attribute des LDAP-Verzeichnisses wie erforderlich,
um die von Mac OS X benötigten Daten bereitzustellen.
Nähere Angaben zu den von Mac OS X-Verzeichnisdiensten benötigten Daten finden
Sie im Anhang „Mac OS X-Verzeichnisdaten“. Füllen von LDAP-Verzeichnissen mit Daten für Mac OS X
Nachdem Sie den Zugriff auf LDAP-Verzeichnis-Domains konfiguriert und die Datenzuordnung konfiguriert haben, können Sie die LDAP-Verzeichnisse mit Datensätzen
und Daten für Mac OS X füllen. Für LDAP-Verzeichnisse, die die Fernverwaltung (Lese-/
Schreibzugriff ) zulassen, können Sie das mit Mac OS X Server gelieferte Programm
„Arbeitsgruppenmanager“ wie folgt verwenden:
 Identifizieren Sie Netzwerkordner und gemeinsam genutzte Domains, die automatisch für Benutzer aktiviert werden sollen (diese werden den Benutzern angezeigt,
wenn Sie in der Seitenleiste eines Finder Fensters unter „Freigeben“ auf „Alle“ klicken).
Verwenden Sie die Taste „File-Sharing“ im Programm „Server-Admin“ und „Einstellungen“ > „Netzwerk“ im Programm „Arbeitsgruppenmanager“. Weitere Informationen
hierzu finden Sie im Handbuch Dateidienste – Administration.
 Definieren Sie Benutzer- und Gruppeneinträge und konfigurieren Sie die entsprechenden Einstellungen.
Verwenden Sie dazu die Taste „Accounts“ im Arbeitsgruppenmanager. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung.
 Definieren Sie Listen mit Computern, für die dieselben Einstellungen gelten und die
denselben Benutzern und Gruppen zur Verfügung stehen sollen.
Verwenden Sie dazu die Taste „Computer“ im Arbeitsgruppenmanager. Weitere Informationen hierzu finden Sie im Handbuch Benutzerverwaltung. 184 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Klicken Sie in allen Fällen auf das kleine Kugelsymbol über der Benutzerliste und wählen Sie die gewünschte Option aus dem Einblendmenü im Arbeitsgruppenmanager
aus, um die LDAP-Verzeichnis-Domain zu öffnen. Wenn das LDAP-Verzeichnis nicht im
Einblendmenü aufgeführt ist, wählen Sie „Anderer“ aus diesem Menü, um das LDAPVerzeichnis auszuwählen.
Hinweis: Damit Sie Einträge und Daten zu einem schreibgeschützten LDAP-Verzeichnis
hinzufügen können, müssen Sie die Werkzeuge auf dem Server verwenden, der das
LDAP-Verzeichnis bereitstellt. Verwenden erweiterter Einstellungen des
Active Directory-Diensts
Sie können einen Server mit Mac OS X Server oder einen Computer mit Mac OS X
zum Zugriff auf eine Active Directory-Domain auf einem Windows 2000 oder
Windows 2003 Server konfigurieren.
Aufgabenbeschreibungen und Anleitungen finden Sie an folgenden Stellen:
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
Â
 „Zugriff auf Active Directory“ auf Seite 186
„Konfigurieren des Zugriffs auf eine Active Directory-Domain“ auf Seite 188
„Einrichten mobiler Benutzer-Accounts in Active Directory“ auf Seite 191
„Einrichten von Benutzerordnern für Active Directory-Benutzer-Accounts“ auf Seite 192
„Einrichten einer UNIX Shell für Active Directory-Benutzer-Accounts“ auf Seite 193
„Zuordnen der Benutzerkennung (UID) zu einem Active Directory-Attribut“ auf
Seite 194
„Zuordnen der Primärgruppen-ID zu einem Active Directory-Attribut“ auf Seite 195
„Zuordnen der Gruppen-ID in Gruppen-Accounts zu einem Active Directory-Attribut“
auf Seite 196
„Angeben eines bevorzugten Active Directory-Servers“ auf Seite 197
„Ändern der Active Directory-Gruppen, die den Computer verwalten können“ auf
Seite 197
„Steuern der Identifizierung von allen Domains in einer Active Directory-Gesamtstruktur“ auf Seite 198
„Lösen der Bindung zum Active Directory-Server“ auf Seite 199 Â „Bearbeiten von Benutzer-Accounts und anderen Datensätzen in Active Directory“
auf Seite 200
Für einige Netzwerke gibt es alternative Methoden, um auf eine Active Directory-Domain
zuzugreifen. Weitere Informationen finden Sie im Abschnitt „Konfigurieren des LDAPZugriffs auf Active Directory-Domains“ auf Seite 200. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 185 Zugriff auf Active Directory
Sie können Mac OS X für den Zugriff auf grundlegende Benutzer-Account-Informationen
in einer Active Directory-Domain eines Windows 2000-Servers oder neuer konfigurieren.
Möglich wird dies durch ein Active Directory-Plug-In für das Programm „Verzeichnisdienste“. Dieses Active Directory-Plug-In wird im Bereich „Dienste“ des Programms
„Verzeichnisdienste“ aufgeführt.
Sie müssen keine Schemaänderungen an der Active Directory-Domain vornehmen,
um grundlegende Benutzer-Account-Informationen abzurufen. Möglicherweise ändern
Sie die Standard-ACL (Zugriffssteuerungsliste) bestimmter Attribute, sodass ComputerAccounts die Benutzereigenschaften lesen können.
Das Active Directory-Plug-In generiert alle benötigten Attribute für die Mac OS X-Identifizierung aus Standardattributen in Active Directory-Benutzer-Accounts. Das Plug-In
unterstützt auch Active Directory-Identifizierungsrichtlinien, u. a. Kennwortänderungen,
Ablaufintervalle, erzwungene Änderungen und Sicherheitsoptionen.
Mac OS X 10.5 unterstützt Optionen für die Paketverschlüsselung und Paketsignierung
für alle Windows Active Directory-Domains. Diese Funktionalität ist standardmäßig
zugelassen. Sie können die Standardeinstellung in „deaktiviert“ oder „erforderlich“
ändern, indem Sie das Befehlszeilenprogramm dsconfigad verwenden. Die Optionen
für Paketverschlüsselung und Paketsignierung sorgen dafür, dass alle Daten, die für
Suchvorgänge in Datensätzen mit der Active Directory-Domain ausgetauscht werden,
geschützt sind.
Das Active Directory-Plug-In generiert eine eindeutige Benutzer-ID und eine Primärgruppen-ID auf Basis der GUID (Globally Unique ID) in der Active Directory-Domain.
Die generierte Benutzer-ID und Primärgruppen-ID sind für jeden Benutzer-Account
identisch. Dies gilt auch, wenn der Account für die Anmeldung bei verschiedenen
Mac OS X-Computern verwendet wird.
Alternativ können Sie das Active Directory-Plug-In veranlassen, die Benutzer-ID zu von
Ihnen angegebenen Active Directory-Attributen zuzuordnen.
Das Active Directory-Plug-In generiert eine Gruppen-ID, die auf der Active DirectoryGUID des Gruppen-Accounts basiert. Sie können das Active Directory-Plug-In außerdem veranlassen, die Gruppen-ID für Gruppen-Accounts zu von Ihnen angegebenen
Active Directory-Attributen zuzuordnen. 186 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Meldet sich ein Benutzer mit einem Active Directory-Benutzer-Account bei Mac OS X
an, kann das Active Directory-Plug-In den im Active Directory-Benutzer-Account angegebenen Windows-Netzwerk-Benutzerordner als Mac OS X-Benutzerordner des Benutzers aktivieren. Sie können festlegen, ob Sie den Netzwerk-Benutzerordner verwenden
möchten, der vom standardmäßigen Attribut „homeDirectory“ von Active Directory
oder vom Attribut „homeDirectory“ von Mac OS X angegeben wird (sofern das Active
Directory-Schema entsprechend erweitert wurde).
Alternativ können Sie das Plug-In so konfigurieren, dass ein lokaler Benutzerordner auf
dem Startvolume des Mac OS X Client-Computers angelegt wird. In diesem Fall aktiviert
das Plug-In auch den Windows-Netzwerk-Benutzerordner (im Active Directory-BenutzerAccount angegeben) als Netzwerkvolume. Der Benutzer kann dann über den Finder
Dateien zwischen dem Windows-Netzwerkvolume und dem lokalen Mac OS X-Benutzerordner kopieren.
Das Active Directory-Plug-In kann außerdem mobile Accounts für Benutzer erstellen.
Ein mobiler Account verwendet einen lokalen Benutzerordner auf dem Startvolume
des Mac OS X Client-Computers. (Der Benutzer besitzt außerdem einen NetzwerkBenutzerordner, der in seinem Active Directory-Account definiert ist.)
Ein mobiler Account kann die Zertifikate der Identifizierung auf dem Mac OS X ClientComputer im Cache zwischenspeichern. Die im Cache abgelegten Anmeldedaten erlauben es dem Benutzer, sich mit dem Active Directory-Namen und Kennwort anzumelden,
wenn der Client-Computer vom Active Directory-Server getrennt wird.
Wurde das Active Directory-Schema für Mac OS X-Datensatztypen (Objektklassen) und
Attribute erweitert, erkennt das Active Directory-Plug-In diese und greift darauf zu.
Das Active Directory-Schema könnte beispielsweise mit Windows-Verwaltungswerkzeugen geändert werden, sodass auch Attribute verwalteter Mac OS X-Clients enthalten sind. Diese Schemaänderung ermöglicht es dem Active Directory-Plug-In,
verwaltete Client-Einstellungen zu unterstützten, die mit dem Programm „Arbeitsgruppenmanager“ von Mac OS X Server festgelegt wurden.
Für Mac OS X-Clients ist umfassender Lesezugriff auf die dem Verzeichnis hinzugefügten Attribute erforderlich. Daher ist es ggf. notwendig, die ACL dieser Attribute so zu
ändern, dass Computergruppen erlaubt wird, diese hinzugefügten Attribute zu lesen. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 187 Das Active Directory-Plug-In erkennt alle Domains in einer Active Directory-Gesamtverzeichnisstruktur. Sie können das Plug-In so konfigurieren, dass Benutzern von beliebigen Domains in der Struktur die Identifizierung bei einem Mac OS X-Computer erlaubt
wird. Alternativ können Sie auch nur die Identifizierung bestimmter Domains auf dem
Client erlauben.
Das Active Directory-Plug-In unterstützt in vollem Umfang Active Directory-Replikation
und Ausfallumschaltung (Failover). Es erkennt mehrere Domain-Controller und ermittelt
den nächstgelegenen. Wenn der Domain-Controller nicht mehr verfügbar ist, schaltet
das Plug-In auf einen anderen Domain-Controller in der Nähe um.
Das Active Directory-Plug-In greift über LDAP auf Active Directory-Benutzer-Accounts
zu und identifiziert diese mithilfe von Kerberos. Das Active Directory-Plug-In verwendet
nicht das Microsoft-eigene ADSI (Active Directory Services Interface) für Verzeichnisoder Identifizierungsdienste. Konfigurieren des Zugriffs auf eine Active Directory-Domain
Mit dem im Programm „Verzeichnisdienste“ aufgelisteten Active Directory-Plug-In können Sie Mac OS X für den Zugriff auf grundlegende Benutzer-Account-Informationen
in einer Active Directory-Domain auf einem Windows-Server konfigurieren.
Das Active Directory-Plug-In generiert alle benötigten Attribute für die Mac OS X-Identifizierung. Es sind keine Änderungen am Active Directory-Schema erforderlich.
Das Active Directory-Plug-In erkennt und greift auf standardmäßige Mac OS X-Datensatztypen und -attribute zu (etwa die für die Verwaltung von Mac OS X-Clients benötigten
Attribute), wenn das Active Directory-Schema erweitert wurde und diese Daten enthält.
ACHTUNG: Mit den erweiterten Optionen des Active Directory-Plug-Ins können Sie die
eindeutige Mac OS X-ID (UID), die primäre Gruppen-ID (GID) und das GID-Attribut den
richtigen Attributen zuordnen, die zum Active Directory-Schema hinzugefügt wurden.
Wenn Sie die Einstellung dieser Zuordnungsoptionen zu einem späteren Zeitpunkt
ändern, verlieren Benutzer u. U. den Zugriff auf zuvor erstellte Dateien.
Wichtig: Enthält der Name Ihres Computers einen Bindestrich, können Sie möglicherweise nicht auf eine Verzeichnis-Domain wie LDAP oder Active Directory zugreifen bzw.
keine Verbindung dazu herstellen. Verwenden Sie einen Computernamen ohne Bindestrich, um die Verbindung herstellen zu können. 188 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Gehen Sie wie folgt vor, um den Zugriff auf eine Active Directory-Domain
zu konfigurieren:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die
Taste „Bearbeiten“ (/).
4 Geben Sie den DNS-Namen der Active Directory-Domain ein, die Sie mit dem zu konfigurierenden Computer verbinden möchten.
Den DNS-Namen, den Sie eingeben müssen, können Sie beim Administrator der Active
Directory-Domain erfahren.
5 Bearbeiten Sie bei Bedarf die Computer-ID.
Bei der Computer-ID handelt es sich um den Namen, der den Computer in der Active
Directory-Domain identifiziert. Standardmäßig wird hierfür der Name des Computers
verwendet. Möglicherweise empfiehlt es sich, die ID zu ändern, um das etablierte
Benennungsschema Ihres Unternehmens für Computer in der Active DirectoryDomain einzuhalten. Bei Unsicherheiten wenden Sie sich an den Administrator der
Active Directory-Domain.
6 (Optional) Legen Sie erweiterte Optionen fest.
Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“ und legen Sie die Optionen in den Bereichen „Benutzereinstellungen“, „Pfade“ und „Administration“ fest. Einstellungen für erweiterte Optionen lassen
sich auch zu einem späteren Zeitpunkt ändern.
Weitere Informationen zu erweiterten Optionen finden Sie in den folgenden Abschnitten:
Â
Â
Â
Â
Â
Â
Â
Â
 „Einrichten mobiler Benutzer-Accounts in Active Directory“ auf Seite 191
„Einrichten von Benutzerordnern für Active Directory-Benutzer-Accounts“ auf Seite 192
„Einrichten einer UNIX Shell für Active Directory-Benutzer-Accounts“ auf Seite 193
„Zuordnen der Benutzerkennung (UID) zu einem Active Directory-Attribut“ auf
Seite 194
„Zuordnen der Primärgruppen-ID zu einem Active Directory-Attribut“ auf Seite 195
„Zuordnen der Gruppen-ID in Gruppen-Accounts zu einem Active Directory-Attribut“
auf Seite 196
„Angeben eines bevorzugten Active Directory-Servers“ auf Seite 197
„Ändern der Active Directory-Gruppen, die den Computer verwalten können“ auf
Seite 197
„Steuern der Identifizierung von allen Domains in einer Active Directory-Gesamtstruktur“ auf Seite 198 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 189 7 Klicken Sie auf „Einbinden“ und identifizieren Sie sich anhand der nachfolgenden
Schritte als ein Benutzer mit Berechtigungen zum Verbinden eines Computers mit
der Active Directory-Domain. Wählen Sie dann die Suchpfade aus, zu denen Sie
Active Directory hinzufügen möchten (vgl. unten) und klicken Sie auf „OK“.
 Name und Kennwort: Sie können sich möglicherweise identifizieren, indem Sie
den Namen und das Kennwort Ihres Active Directory-Benutzer-Accounts eingeben.
Andernfalls muss evtl. der Active Directory-Domain-Administrator Name und Kennwort bereitstellen.
 Computer-OU: Geben Sie die Organisationseinheit (OU) für den zu konfigurierenden Computer ein.
 Für Identifizierung verwenden: Verwenden Sie diese Einstellung, um anzugeben,
ob Active Directory zum Suchpfad für die Identifizierung des Computers hinzugefügt wird.
 Für Kontakte verwenden: Verwenden Sie diese Einstellung, um anzugeben, ob
Active Directory zum Suchpfad für Kontakte des Computers hinzugefügt wird.
Wenn Sie auf „OK“ klicken, richtet das Programm „Verzeichnisdienste“ eine vertrauenswürdige Bindung zwischen dem zu konfigurierenden Computer und dem Active
Directory-Server ein. Die Suchpfade des Computers werden entsprechend den Optionen festgelegt, die Sie bei der Anmeldung ausgewählt haben. Active Directory wird
im Bereich „Dienste“ des Programms „Verzeichnisdienste“ aktiviert.
Bei Verwendung der Standardeinstellungen für die erweiterten Active Directory-Optionen wird die Active Directory-Gesamtstruktur zum Suchpfad für die Identifizierung und
für Kontakte des Computers hinzugefügt, wenn Sie „Für Identifizierung verwenden“ oder
„Für Kontakte verwenden“ ausgewählt haben.
Wenn Sie jedoch die Option „Identifizierung aus jeder Domain in der Gesamtstruktur
ermöglichen“ im Bereich „Administration“ der erweiterten Optionen deaktivieren, bevor
Sie auf „Einbinden“ klicken, wird anstelle der Gesamtstruktur die nächste Active DirectoryDomain hinzugefügt.
Sie können Suchpfade zu einem späteren Zeitpunkt ändern, indem Sie die Active
Directory-Gesamtstruktur oder einzelne Domains hinzufügen bzw. entfernen. Weitere
Informationen hierzu finden Sie im Abschnitt „Definieren von eigenen Suchpfaden“
auf Seite 151.
8 (Optional) Verbinden Sie den Server mit dem Active Directory-Kerberos-Realm.
Öffnen Sie auf dem Server oder einem Administratorcomputer, der die Verbindung zum
Server herstellen kann, das Programm „Server-Admin“ und wählen Sie „Open Directory“
für den Server aus. Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. Klicken Sie
auf „Kerberos-Eintrag hinzufügen“. Wählen Sie dann den Active Directory-Kerberos-Realm
aus dem Einblendmenü aus und geben Sie die Zertifikate eines lokalen Administrators
auf diesem Server ein.
Weitere Informationen hierzu finden Sie im Abschnitt „Hinzufügen eines Servers zu
einem Kerberos-Realm“ auf Seite 118. 190 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Einrichten mobiler Benutzer-Accounts in Active Directory
Sie können mobile Active Directory-Benutzer-Accounts auf einem Computer aktivieren
oder deaktivieren, der für die Verwendung des Active Directory-Plug-Ins des Programms
„Verzeichnisdienste“ konfiguriert ist. Benutzer mit mobilen Accounts können sich mit
ihren Active Directory-Anmeldedaten anmelden, wenn der Computer nicht mit dem
Active Directory-Server verbunden ist.
Das Active Directory-Plug-In kann Zertifikate für den mobilen Account eines Benutzers im Cache zwischenspeichern, wenn sich der Benutzer während einer bestehenden Verbindung zwischen dem Computer und der Active Directory-Domain anmeldet.
Diese Speicherung von Anmeldedaten im Cache erfordert keine Änderung des Active
Directory-Schemas.
Wenn das Active Directory-Schema um Attribute verwalteter Mac OS X-Clients erweitert wurde, werden diese Einstellungen der mobilen Accounts anstelle der Einstellung
des mobilen Accounts des Active Directory-Plug-Ins verwendet.
Sie können mobile Accounts automatisch erstellen lassen oder festlegen, dass Active
Directory-Benutzer die Erstellung eines mobilen Accounts bestätigen müssen.
Gehen Sie wie folgt vor, um mobile Accounts in einer Active Directory-Domain zu
aktivieren oder zu deaktivieren:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die
Taste „Bearbeiten“ (/).
4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“.
5 Klicken Sie auf „Benutzereinstellungen“ und dann auf „Mobilen Account bei Anmeldung erstellen“. Klicken Sie anschließend optional auf „Bestätigung vor Erstellen
mobiler Accounts einholen“.
6 Wenn beide Optionen ausgewählt sind, entscheidet jeder Benutzer selbst, ob bei
der Anmeldung ein mobiler Account erstellt wird. Wenn sich ein Benutzer mit einem
Active Directory-Benutzer-Account bei Mac OS X oder als Netzwerkbenutzer anmeldet, wird sofort ein Dialogfenster mit Steuerelementen zum Erstellen eines mobilen
Accounts angezeigt. Ist die erste Option ausgewählt und die zweite nicht, werden bei
der Anmeldung von Benutzern mobile Accounts erstellt. Ist die erste Option nicht ausgewählt, ist die zweite Option deaktiviert. Klicken Sie auf „OK“. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 191 Einrichten von Benutzerordnern für Active Directory-Benutzer-Accounts
Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung des Active Directory-Plug-Ins konfiguriert ist, können Sie Netzwerk-Benutzerordner oder lokale Benutzerordner für Active Directory-Benutzer-Accounts aktivieren
oder deaktivieren.
Wenn Netzwerk-Benutzerordner eingerichtet sind, wird ein Windows-Netzwerk-Benutzerordner als Mac OS X-Benutzerordner aktiviert, wenn sich der Benutzer anmeldet.
Sie legen fest, ob der Speicherort des Netzwerk-Benutzerordners mit dem standardmäßigen Active Directory-Attribut „homeDirectory“ oder mit dem Mac OS X-Attribut
„homeDirectory“ bestimmt wird, sofern das Active Directory-Schema entsprechend
erweitert wurde.
Bei lokalen Benutzerordnern hat jeder Active Directory-Benutzer, der sich anmeldet, einen
Benutzerordner auf dem Mac OS X Startvolume. Zusätzlich wird der Netzwerk-Benutzerordner des Benutzers als Netzwerkvolume aktiviert. Der Benutzer kann Dateien zwischen
diesem Netzwerkvolume und dem lokalen Benutzerordner kopieren.
Gehen Sie wie folgt vor, um Benutzerordner für Active Directory-BenutzerAccounts einzurichten:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die
Taste „Bearbeiten“ (/).
4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“.
5 Klicken Sie auf „Benutzereinstellungen“.
6 Sollen Active Directory-Benutzer-Accounts über lokale Benutzerordner im Ordner
„/Benutzer“ des Computers verfügen, klicken Sie auf „Lokalen Benutzerordner unbedingt auf dem Startvolume anlegen“.
Diese Option ist nicht verfügbar, wenn „Mobilen Account bei der Anmeldung erstellen“
ausgewählt ist.
7 Soll das Active Directory-Standardattribut für den Speicherort des Benutzerordners verwendet werden, wählen Sie „UNC-Pfad von Active Directory verwenden, um den Benutzerordner im Netzwerk abzuleiten“. Wählen Sie dann eines der folgenden Protokolle für
den Zugriff auf den Benutzerordner aus:
 Möchten Sie das standardmäßige Windows-Protokoll „SMB“ verwenden, wählen Sie
„smb“ aus dem Einblendmenü „Zu verwendendes Netzwerkprotokoll“ aus.
 Möchten Sie das standardmäßige Macintosh-Protokoll „AFP“ verwenden, wählen Sie
„afp“ aus dem Einblendmenü „Zu verwendendes Netzwerkprotokoll“ aus. 192 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 8 Möchten Sie das Mac OS X-Attribut für den Speicherort des Benutzerordners verwenden, deaktivieren Sie „UNC-Pfad von Active Directory verwenden, um den Benutzerordner im Netzwerk abzuleiten“.
Möchten Sie das Mac OS X-Attribut verwenden, muss das Active Directory-Schema
entsprechend erweitert sein.
9 Klicken Sie auf „OK“.
Wenn Sie den Namen eines Benutzer-Accounts in der Active Directory-Domain ändern,
erstellt der Server einen Benutzerordner (und Unterordner) für den Benutzer-Account,
wenn er das nächste Mal für die Anmeldung bei einem Mac OS X-Computer genutzt
wird. Der Benutzer kann den alten Benutzerordner weiterhin auswählen und dessen
Inhalt im Finder anzeigen.
Sie können die Erstellung eines neuen Benutzerordners verhindern, indem Sie den alten
Ordner umbenennen, bevor sich der Benutzer das nächste Mal anmeldet. Einrichten einer UNIX Shell für Active Directory-Benutzer-Accounts
Auf einem Computer, der für die Verwendung des Active Directory-Plug-Ins des Programms „Verzeichnisdienste“ konfiguriert ist, können Sie die Befehlszeilen-Shell festlegen, die Benutzer mit Active Directory-Accounts standardmäßig verwenden werden,
wenn sie im Programm „Terminal“ mit Mac OS X interagieren.
Die Standard-Shell wird auch für die Interaktion per Fernzugriff über SSH (Secure Shell)
oder Telnet verwendet. Jeder Benutzer kann die Standard-Shell übergehen, indem er
eine Terminal-Einstellung ändert.
Gehen Sie wie folgt vor, um eine UNIX Shell für Active Directory-BenutzerAccounts einzurichten:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die
Taste „Bearbeiten“ (/).
4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“.
5 Klicken Sie auf „Benutzereinstellungen“.
6 Markieren Sie das Feld für die standardmäßige Benutzer-Shell und geben Sie den Pfad
der standardmäßigen Benutzer-Shell ein.
7 Klicken Sie auf „OK“. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 193 Zuordnen der Benutzerkennung (UID) zu einem
Active Directory-Attribut
Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung
des Active Directory-Plug-Ins konfiguriert ist, können Sie ein Active Directory-Attribut
festlegen, das dem UID-Attribut von Mac OS X zugeordnet werden soll.
Das Active Directory-Schema muss im Normalfall um ein Attribut erweitert werden, das
für die Zuordnung zur UID geeignet ist:
 Wenn der Active Directory-Administrator das Active Directory-Schema erweitert,
indem er die Microsoft-Dienste für UNIX installiert, können Sie die UID dem Attribut
„msSFU-30-Uid-Number“ zuordnen.
 Wenn der Active Directory-Administrator das Active Directory-Schema manuell so
erweitert, dass es das Attribut „RFC 2307“ enthält, können Sie die UID dem Attribut
„uidNumber“ zuordnen.
 Wenn der Active Directory-Administrator das Active Directory-Schema manuell so
erweitert, dass es das Mac OS X Attribut „UniqueID“ enthält, können Sie die UID diesem Attribut zuordnen.
Wenn die UID-Zuordnung deaktiviert ist, generiert das Active Directory-Plug-In eine
UID basierend auf dem Standard-GUID-Attribut von Active Directory.
ACHTUNG: Wenn Sie die Zuordnung der UID zu einem späteren Zeitpunkt ändern,
verlieren Benutzer u. U. den Zugriff auf zuvor erstellte Dateien.
Gehen Sie wie folgt vor, um die UID einem Attribut in einem erweiterten Active
Directory-Schema zuzuordnen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die
Taste „Bearbeiten“ (/).
4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“.
5 Klicken Sie auf „Pfade“.
6 Wählen Sie „Eindeutige Kennung (UID) auf Attribut“ und geben Sie den Namen des
Active Directory-Attributs ein, den Sie der UID zuordnen möchten.
7 Klicken Sie auf „OK“. 194 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Zuordnen der Primärgruppen-ID zu einem Active Directory-Attribut
Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung
des Active Directory-Plug-Ins konfiguriert ist, können Sie ein Active Directory-Attribut
festlegen, das dem Primärgruppen-ID-Attribut (GID) von Mac OS X in Benutzer-Accounts
zugeordnet werden soll.
Das Active Directory-Schema muss im Normalfall um ein Attribut erweitert werden,
das für die Zuordnung zur Primär-GID geeignet ist:
 Wenn der Active Directory-Administrator das Active Directory-Schema erweitert,
indem er die Microsoft-Dienste für UNIX installiert, können Sie die primäre GID dem
Attribut „msSFU-30-Gid-Number“ zuordnen.
 Wenn der Active Directory-Administrator das Active Directory-Schema manuell so
erweitert, dass es das Attribut „RFC 2307“ enthält, können Sie die primäre GID dem
Attribut „gidNumber“ zuordnen.
 Wenn der Active Directory-Administrator das Active Directory-Schema manuell so
erweitert, dass es das Mac OS X-Attribut „PrimaryGroupID“ enthält, können Sie die
primäre GID diesem Attribut zuordnen.
Wenn die Zuordnung der Primär-GID deaktiviert ist, generiert das Active Directory-PlugIn eine Primär-GID basierend auf dem Standard-GUID-Attribut von Active Directory.
ACHTUNG: Wenn Sie die Zuordnung der Primär-GID zu einem späteren Zeitpunkt
ändern, verlieren Benutzer u. U. den Zugriff auf zuvor erstellte Dateien.
Gehen Sie wie folgt vor, um die primäre GID einem Attribut in einem erweiterten
Active Directory-Schema zuzuordnen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die
Taste „Bearbeiten“ (/).
4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“.
5 Klicken Sie auf „Pfade“.
6 Wählen Sie „Eindeutige Benutzerkennung (GID) auf Attribut zuordnen“ und geben
Sie den Namen des Active Directory-Attributs ein, das Sie der Primärgruppen-ID in
Benutzer-Accounts zuordnen möchten.
7 Klicken Sie auf „OK“. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 195 Zuordnen der Gruppen-ID in Gruppen-Accounts zu einem Active
Directory-Attribut
Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung
des Active Directory-Plug-Ins konfiguriert ist, können Sie ein Active Directory-Attribut
festlegen, das dem Gruppen-ID-Attribut (GID) von Mac OS X in Gruppen-Accounts
zugeordnet werden soll.
Das Active Directory-Schema muss im Normalfall um ein Attribut erweitert werden,
das für die Zuordnung zur GID geeignet ist:
 Wenn der Active Directory-Administrator das Active Directory-Schema erweitert,
indem er die Microsoft-Dienste für UNIX installiert, können Sie die GID dem Attribut
„msSFU-30-Gid-Number“ zuordnen.
 Wenn der Active Directory-Administrator das Active Directory-Schema manuell so
erweitert, dass es das Attribut „RFC 2307“ enthält, können Sie die GID dem Attribut
„gidNumber“ zuordnen.
 Wenn der Active Directory-Administrator das Active Directory-Schema manuell so
erweitert, dass es das Mac OS X-Attribut „gidNumber“ enthält, können Sie die GID
diesem Attribut zuordnen.
Wenn die Zuordnung der GID deaktiviert ist, generiert das Active Directory-Plug-In eine
GID basierend auf dem Standard-GUID-Attribut von Active Directory.
ACHTUNG: Wenn Sie die Zuordnung der GID zu einem späteren Zeitpunkt ändern,
verlieren Benutzer u. U. den Zugriff auf zuvor erstellte Dateien.
Gehen Sie wie folgt vor, um die GID einem Attribut in einem erweiterten Active
Directory-Schema zuzuordnen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die
Taste „Bearbeiten“ (/).
4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“.
5 Klicken Sie auf „Pfade“.
6 Wählen Sie „Eindeutige Gruppenkennung (GID) auf Attribut zuordnen“ und geben Sie
den Namen des Active Directory-Attributs ein, das Sie der GID in Gruppen-Accounts
zuordnen möchten.
7 Klicken Sie auf „OK“. 196 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Angeben eines bevorzugten Active Directory-Servers
Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung des Active Directory-Plug-Ins konfiguriert ist, können Sie den DNS-Namen des
Servers angeben, auf dessen Active Directory-Domain der Computer standardmäßig
zugreifen soll.
Steht der Server zu einem späteren Zeitpunkt einmal nicht zur Verfügung, schaltet das
Active Directory-Plug-In auf einen anderen nahen Server in der Gesamtstruktur um.
Ist diese Option deaktiviert, bestimmt das Active Directory-Plug-In die nächste Active
Directory-Domain in der Gesamtstruktur.
Gehen Sie wie folgt vor, um einen bevorzugten Server für den Zugriff durch das
Active Directory-Plug-In festzulegen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die
Taste „Bearbeiten“ (/).
4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“.
5 Klicken Sie auf „Administration“.
6 Wählen Sie „Bevorzugter Domain-Server“ aus und geben Sie den DNS-Namen des
Active Directory-Servers ein.
7 Klicken Sie auf „OK“. Ändern der Active Directory-Gruppen, die den Computer
verwalten können
Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung
des Active Directory-Plug-Ins konfiguriert ist, können Sie Active Directory-GruppenAccounts identifizieren, deren Mitglieder Administratorrechte für den Computer erhalten sollen.
Benutzer, die Mitglieder dieser Active Directory-Benutzer-Accounts sind, können Verwaltungsaufgaben ausführen wie z. B. das Installieren von Software auf dem von Ihnen
konfigurierten Mac OS X-Computer. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 197 Gehen Sie wie folgt vor, um Active Directory-Gruppen-Accounts hinzuzufügen oder
zu löschen, deren Mitglieder Administratorrechte haben:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die
Taste „Bearbeiten“ (/).
4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“.
5 Klicken Sie auf „Administration“.
6 Wählen Sie „Verwaltung ermöglichen durch“ und ändern Sie die Liste der Active
Directory-Gruppen-Accounts, deren Mitglieder Administratorrechte erhalten sollen:
 Fügen Sie eine Gruppe hinzu, indem Sie auf die Taste „Hinzufügen“ (+) klicken und den
Active Directory-Domain-Namen, einen umgekehrten Schrägstrich und den GruppenAccount-Namen eingeben (z. B. „ADS\Domain Admins, IL2\Domain Admins“).
 Löschen Sie eine Gruppe, indem Sie sie in der Liste auswählen und dann auf die Taste
„Löschen“ (–) klicken.
7 Klicken Sie auf „OK“. Steuern der Identifizierung von allen Domains in einer
Active Directory-Gesamtstruktur
Auf einem Computer, der mit dem Programm „Verzeichnisdienste“ für die Verwendung des Active Directory-Plug-Ins konfiguriert ist, können Sie Benutzern in der
Active Directory-Gesamtstruktur die Identifizierung von allen Domains erlauben
oder auf Benutzer von bestimmten Domains einschränken.
Gehen Sie wie folgt vor, um zu steuern, ob Benutzer sich von allen Domains in der
Gesamtstruktur identifizieren können:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die
Taste „Bearbeiten“ (/).
4 Wenn die erweiterten Optionen ausgeblendet sind, klicken Sie auf „Erweiterte Optionen einblenden“. 198 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 5 Klicken Sie auf „Administration“.
6 Wählen Sie „Identifizierung aus jeder Domain in der Gesamtstruktur ermöglichen“.
Wenn Sie „Identifizierung aus jeder Domain in der Gesamtstruktur ermöglichen“ auswählen, können Sie die Active Directory-Gesamtstruktur zu den eigenen Suchpfaden
des Computers für Identifizierungen und Kontakte hinzufügen. Wenn Sie eine Active
Directory-Gesamtstruktur zu einem angepassten Suchpfad hinzufügen, wird sie in der
Liste der verfügbaren Verzeichnis-Domains als „/Active Directory/All Domains“ angezeigt. (Dies ist die Standardeinstellung.)
Wenn Sie „Identifizierung aus jeder Domain in der Gesamtstruktur ermöglichen“ deaktivieren, können Sie den eigenen Suchpfaden des Computers einzelne Active DirectoryDomains für Identifizierungen und Kontakte hinzufügen. Wenn Sie Active DirectoryDomains zu einem angepassten Suchpfad hinzufügen, werden alle Active DirectoryDomains in der Liste der verfügbaren Verzeichnis-Domains separat angezeigt.
7 Klicken Sie auf „OK“.
8 Ändern Sie nach Auswahl von „Identifizierung aus jeder Domain in der Gesamtstruktur
ermöglichen“ den angepassten Suchpfad in den Bereichen „Identifizierung“ und „Kontakte“ so, dass die Active Directory-Gesamtstruktur oder ausgewählte Domains enthalten sind.
Weitere Informationen zum Ändern eines angepassten Suchpfads finden Sie im Abschnitt
„Definieren von eigenen Suchpfaden“ auf Seite 151. Lösen der Bindung zum Active Directory-Server
Wenn der Computer das Active Directory-Plug-In des Programms „Verzeichnisdienste“
für die Bindung an einen Active Directory-Server verwendet, können Sie die Bindung
zum Active Directory-Server lösen.
Sie können das Lösen der Bindung erzwingen, wenn der Computer nicht mit dem
Server kommunizieren kann oder der Computereintrag vom Server entfernt wurde.
Gehen Sie wie folgt vor, um den Computer vom Active Directory-Server zu trennen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „Active Directory“ aus und klicken Sie dann auf die
Taste „Bearbeiten“ (/). Kapitel 8 Erweiterte Einstellungen für Directory-Clients 199 4 Klicken Sie auf „Trennen“, identifizieren Sie sich als ein Benutzer mit den erforderlichen
Rechten zum Trennen einer Verbindung zur Active Directory-Domain und klicken Sie
auf „OK“.
Wenn eine Warnmeldung mit dem Hinweis angezeigt wird, dass die Anmeldedaten nicht
akzeptiert wurden oder der Computer nicht mit Active Directory kommunizieren kann,
klicken Sie auf „Bindung sofort lösen“, um das Trennen der Verbindung zu erzwingen.
Wenn Sie die Bindung sofort trennen, enthält Active Directory dennoch einen Computereintrag für diesen Computer. Informieren Sie den Active Directory-Administrator darüber,
damit dieser den Computereintrag entfernt.
5 Deaktivieren Sie im Bereich „Dienste“ die Active Directory-Einstellung „Aktivieren“ und
klicken Sie auf „Anwenden“. Bearbeiten von Benutzer-Accounts und anderen Datensätzen in
Active Directory
Sie können mit dem Arbeitsgruppenmanager Änderungen an Benutzer- und GruppenAccounts, Computergruppen und anderen Datensätzen in einer Active Directory-Domain
vornehmen. Außerdem können Sie mit dem Arbeitsgruppenmanager Datensätze in einer
Active Directory-Domain löschen.
Wenn das Active Directory-Schema um standardmäßige Mac OS X-Datensatztypen
(Objektklassen) und -attribute erweitert wird, können Sie mit dem Arbeitsgruppenmanager Computergruppen in der Active Directory-Domain erstellen und bearbeiten.
Weitere Informationen zum Arbeiten mit Benutzer- und Gruppen-Accounts und mit
Computergruppen finden Sie im Handbuch Benutzerverwaltung.
Wenn Sie Benutzer- oder Gruppen-Accounts in einer Active Directory-Domain erstellen,
verwenden Sie die Active Directory-Verwaltungswerkzeuge von Microsoft auf einem
Windows Server-Administratorcomputer. Konfigurieren des LDAP-Zugriffs auf Active Directory-Domains
Mit dem Programm „Verzeichnisdienste“ können Sie eine LDAPv3-Konfiguration für
den Zugriff auf eine Active Directory-Domain auf einem Windows-Server einrichten.
Eine LDAPv3-Konfiguration bietet Ihnen eine umfassende Steuerung der Zuordnung
von Mac OS X-Datensatztypen und -attributen zu Active Directory-Objektklassen,
Suchbeginnen und Attributen.
Die Zuordnung einiger wichtiger Mac OS X-Datensatztypen und -attribute wie die UID
erfordert eine Erweiterung des Active Directory-Schemas. 200 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Eine LDAPv3-Konfiguration enthält keine der folgenden Funktionen des im Programm
„Verzeichnisdienste“ aufgelisteten Active Directory-Plug-Ins:
Â
Â
Â
 Dynamische Generierung einer eindeutigen Benutzer-ID und Primärgruppen-ID
Erstellung eines lokalen Mac OS X-Benutzerordners
Automatische Aktivierung der Windows-Benutzerordner
Mobile Benutzer-Accounts mit im Cache abgelegten Anmeldedaten für die
Identifizierung
 Ermittlung aller Domains in einer Active Directory-Gesamtstruktur
 Unterstützung für Active Directory-Replikation und -Ausfallumschaltung
Weitere Informationen hierzu finden Sie im Abschnitt „Zugriff auf Active Directory“
auf Seite 186.
Gehen Sie wie folgt vor, um eine Active Directory-Server-Konfiguration zu erstellen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „LDAPv3“ aus und klicken Sie dann auf die Taste
„Bearbeiten“ (/).
4 Klicken Sie auf „Neu“ und geben Sie den DNS-Namen oder die IP-Adresse des Active
Directory-Servers ein.
5 Wählen Sie aus den folgenden Optionen für den Zugriff auf das Verzeichnis aus und
klicken Sie dann auf „Fortfahren“, damit das Programm „Verzeichnisdienste“ Informationen vom Active Directory-Server abruft.
 Wählen Sie „Verschlüsselung mit SSL“, wenn Open Directory SSL für Verbindungen
mit dem Active Directory Server verwenden soll. Erkundigen Sie sich vor Auswahl
des Markierungsfeld „SSL“ bei Ihrem Open Directory-Administrator, ob SSL erforderlich ist.
 Wählen Sie „Für Identifizierung verwenden“, wenn dieses Verzeichnis BenutzerAccounts enthält, die zur Anmeldung oder Identifizierung bei Diensten verwendet werden.
 Wählen Sie „Für Kontakte verwenden“, wenn dieses Verzeichnis E-Mail-Adressen und
weitere Informationen enthält, die Sie im Adressbuch verwenden möchten.
Wenn das Programm „Verzeichnisdienste“ die Verbindung zum Active Directory-Server
nicht herstellen kann, wird eine entsprechende Meldung angezeigt und Sie müssen
den Zugriff manuell konfigurieren oder die Konfiguration abbrechen. Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren des manuellen Zugriffs auf ein
LDAP-Verzeichnis“ auf Seite 161. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 201 Wenn Sie „Für Identifizierung verwenden“ oder „Für Kontakte verwenden“ ausgewählt
haben, wird die LDAPv3-Verbindung zur Active Directory-Domain zu einem angepassten Suchpfad im Bereich „Identifizierung“ oder „Kontakte“ des Programms „Verzeichnisdienste“ hinzugefügt.
Vergewissern Sie sich, dass LDAPv3 im Bereich „Dienste“ aktiviert ist, sodass der Computer die eingerichtete Verbindung verwendet. Weitere Informationen hierzu finden Sie im
Abschnitt „Aktivieren oder Deaktivieren von LDAP-Verzeichnisdiensten“ auf Seite 154.
6 Wenn im erweiterten Dialogfenster Zuordnungsoptionen angezeigt werden, wählen Sie
„Active Directory“ aus dem Einblendmenü aus, geben den Suchbeginn ein und klicken
dann auf „Fortfahren“.
Die Active Directory-Zuordnungsvorlage für eine LDAPv3-Konfiguration ordnet einige
Mac OS X Datensatztypen und Attribute Objektklassen und Attributen zu, die nicht Teil
eines Active Directory-Standardschemas sind. Sie können die von der Vorlage definierten Zuordnungen ändern oder das Active Directory-Schema erweitern.
Alternativ haben Sie ggf. die Möglichkeit, über das Active Directory-Plug-In anstelle mit
LPAPv3 auf Ihre Active Directory-Domain zuzugreifen. Weitere Informationen hierzu finden Sie in „Konfigurieren des Zugriffs auf eine Active Directory-Domain“.
7 Wenn im erweiterten Dialogfenster Verbindungsoptionen anzeigt werden, geben Sie
den Namen und das Kennwort eines Active Directory-Benutzer-Accounts ein.
8 Klicken Sie auf „OK“, um die Erstellung einer LDAP-Verbindung abzuschließen.
9 Klicken Sie auf „OK“, um die Konfiguration von LDAPv3-Optionen abzuschließen. Festlegen von NIS-Einstellungen
Mit dem Programm „Verzeichnisdienste“ können Sie eine Konfiguration erstellen, die
festlegt, wie Mac OS X auf eine NIS-Domain (Network Information Service) zugreift.
Gehen Sie wie folgt vor, um eine Konfiguration für den Zugriff auf eine NIS-Domain
zu erstellen:
1 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
2 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
3 Wählen Sie in der Liste der Dienste „Lokale BSD-Konfigurationsdateien und NIS“ aus
und klicken Sie dann auf die Taste „Bearbeiten“ (/).
4 Geben Sie den Namen der NIS-Domain oder den DNS-Namen bzw. die IP-Adresse des
Servers ein, auf dem sich die NIS-Domain befindet.
Fügen Sie den Hostnamen oder die IP-Adresse des NIS-Servers hinzu, wenn dies aus
Sicherheitsgründen erforderlich ist oder wenn sich der Server nicht im selben Teilnetz
wie der zu konfigurierende Computer befindet. 202 Kapitel 8 Erweiterte Einstellungen für Directory-Clients Wenn Sie keinen Server angeben, ermittelt NIS mithilfe eines Broadcast-Protokolls eine
NIS-Server im Teilnetz.
5 Wählen Sie „NIS-Domain zur Identifizierung verwenden“ und klicken Sie auf „OK“.
Die NIS-Domain wird als /BSD/domain zum Suchpfad für die Identifizierung des Computers hinzugefügt. domain gibt dabei den in Schritt 4 eingegebenen Namen an. Festlegen von Einstellungen für BSD-Konfigurationsdateien
Administrative Daten wurden auf UNIX-Computern seit jeher in Konfigurationsdateien
wie „/etc/master.passwd“, „/etc/group“ und „/etc/hosts“ gespeichert. Mac OS X basiert
auf einer BSD-Version von UNIX, bezieht administrative Daten aber normalerweise aus
Verzeichnissystemen.
Mac OS X Server unterstützt einen feststehenden Satz von BSD-Konfigurationsdateien.
Sie können weder angeben, welche Konfigurationsdateien verwendet werden, noch
können Sie ihren Inhalt Mac OS X Datensatztypen und Attributen zuordnen.
Unter Mac OS X 10.2 (oder neuer, einschließlich Mac OS X Server 10.2 oder neuer) kann
Open Directory administrative Daten von BSD-Konfigurationsdateien abrufen. Dies gibt
Unternehmen, die über BSD-Konfigurationsdateien verfügen, die Möglichkeit, Kopien
der vorhandenen Dateien auf Mac OS X-Computern zu verwenden. BSD-Konfigurationsdateien können alleine oder zusammen mit anderen Verzeichnis-Domains verwendet werden.
Gehen Sie wie folgt vor, um BSD-Konfigurationsdateien zu verwenden:
1 Vergewissern Sie sich, dass die BSD-Konfigurationsdateien die Daten enthalten, die
für Mac OS X Verzeichnisdienste erforderlich sind.
Weitere Informationen hierzu finden Sie im Abschnitt „Konfigurieren von Daten in
BSD-Konfigurationsdateien“ auf Seite 204.
2 Öffnen Sie das Programm „Verzeichnisdienste“ und klicken Sie auf „Dienste“.
3 Ist das Schlosssymbol geschlossen, öffnen Sie es, indem Sie darauf klicken und Name
und Kennwort eines Administrators eingeben.
4 Wählen Sie in der Liste der Dienste „Lokale BSD-Konfigurationsdateien und NIS“ aus
und klicken Sie dann auf die Taste „Bearbeiten“ (/).
5 Wählen Sie „Benutzer- und Gruppeneinträge im lokalen BSD-Knoten verwenden“ und
klicken Sie dann auf „OK“.
Die Domain für BSD-Konfigurationsdateien wird dem Suchpfad für die Identifizierung
des Computers in folgender Form hinzugefügt „/BSD/local“. Kapitel 8 Erweiterte Einstellungen für Directory-Clients 203 Konfigurieren von Daten in BSD-Konfigurationsdateien
Wenn Sie wollen, dass ein Mac OS X-Computer administrative Daten aus BSD-Konfigurationsdateien erhält, müssen die Daten in den Dateien vorhanden sein und in dem
von Mac OS X benötigten Format vorliegen.
Möglicherweise müssen Sie Daten in den Dateien hinzufügen, ändern oder neu anordnen. Der Arbeitsgruppenmanager kann keine Änderungen an Daten in BSD-Konfigurationsdateien vornehmen, sodass Sie die notwendigen Änderungen mithilfe eines
Texteditors oder anderer Werkzeuge vornehmen müssen.
In der folgenden Tabelle werden die Namen der Dateien aufgelistet und deren
Inhalt beschrieben.
BSD-Konfigurationsdatei enthält /etc/master.passwd Benutzernamen, Kennwörter, IDs, Primärgruppen-IDs usw. /etc/group Gruppennamen, IDs und Mitglieder /etc/fstab NFS-Aktivierungen /etc/hosts Computernamen und -adressen /etc/networks Netzwerknamen und -adressen /etc/services Dienstnamen, Anschlüsse und Protokolle /etc/protocols IP-Protokollnamen und -nummern /etc/rpcs RPC-Server für offene Netzwerke /etc/printcap Druckernamen und -fähigkeiten /etc/bootparams Bootparam-Einstellungen /etc/bootp Bootp-Einstellungen /etc/aliases Mail-Aliasnamen und Verteilerlisten /etc/netgroup Netzwerkweite Gruppennamen und -mitglieder Weitere Informationen zu den von Mac OS X-Verzeichnisdiensten benötigten Daten
finden Sie im Anhang „Mac OS X-Verzeichnisdaten“. 204 Kapitel 8 Erweiterte Einstellungen für Directory-Clients 9 Pflegen von Open DirectoryDiensten 9 Sie können Open Directory-Dienste überwachen, unformatierte Daten aus Open Directory-Domains anzeigen und
bearbeiten und Open Directory-Dateien sichern.
Zu den fortlaufenden Aufgaben bei der Verwaltung von Open Directory-Diensten
zählen Folgende:
 „Zugriffssteuerung für Open Directory-Server und -Dienste“ auf Seite 205
 „Überwachen von Open Directory“ auf Seite 209
 „Anzeigen und Bearbeiten von Verzeichnisdaten“ auf Seite 212
 „Importieren von Einträgen beliebigen Typs“ auf Seite 216
 „Festlegen von Optionen für einen Open Directory-Server“ auf Seite 217
 „Verwalten der Open Directory-Replikation“ auf Seite 224
 „Archivieren eines Open Directory-Masters“ auf Seite 230
 „Wiederherstellen eines Open Directory-Masters“ auf Seite 231
Informationen zum Beseitigen von Open Directory-Problemen finden Sie im Abschnitt
„Fehlerbeseitigung“ auf Seite 235. Zugriffssteuerung für Open Directory-Server und -Dienste
Sie können den Zugriff auf einen Open Directory-Master oder eine Replik steuern,
indem Sie Beschränkungen dafür festlegen, wer sich mithilfe des Anmeldefensters
oder des ssh-Befehlszeilenprogramms anmelden kann. Weitere Informationen
hierzu finden Sie in folgenden Abschnitten:
 „Zugriffssteuerung für das Anmeldefenster eines Servers“ auf Seite 206
 „Zugriffssteuerung für den SSH-Dienst“ auf Seite 206
 „Konfigurieren der Zugriffssteuerung für Dienste“ auf Seite 207
 „Konfigurieren von Zugriffsrechten für Ressourcen“ auf Seite 208 205 Zugriffssteuerung für das Anmeldefenster eines Servers
Mithilfe des Programms „Server-Admin“ können Sie steuern, welche Benutzer sich mit
dem Anmeldefenster bei Mac OS X Server anmelden können. Benutzer mit Zugriffsrechten eines Serveradministrators können sich immer beim Server anmelden.
Gehen Sie wie folgt vor, um zu steuern, wer das Anmeldefenster auf einem Server
verwenden kann:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf „Einstellungen“ und anschließend auf „Zugriff“.
3 Klicken Sie auf „Dienste“.
4 Wählen Sie „Für folgende Dienste“ aus und wählen Sie in der Liste auf der linken Seite
den Eintrag „Anmeldefenster“ aus.
5 Wählen Sie „Nur folgende Benutzer und Gruppen“ aus und bearbeiten Sie die Liste
der Benutzer und Gruppen, denen die Anmeldung über das Anmeldefenster möglich
sein soll:
 Fügen Sie Benutzer oder Gruppen hinzu, die das Anmeldefenster verwenden
können, indem Sie auf die Taste „Hinzufügen“ (+) klicken und die erforderlichen
Informationen bereitstellen.
 Entfernen Sie Benutzer oder Gruppen aus der Liste, indem Sie einen oder mehrere
Einträge auswählen und auf die Taste „Löschen“ (–) klicken.
6 Klicken Sie auf „Sichern“.
Ist „Alle Benutzer und Gruppen zulassen“ ausgewählt, wenn Sie in Schritt 4 „Für folgende Dienste“ auswählen, erlauben alle Dienste mit Ausnahme des Anmeldefenster
allen Benutzern und Gruppen den Zugriff.
Wenn Sie einschränken möchten, wer außer auf das Anmeldefenster auch auf andere
aufgelistete Dienste zugreifen kann, wählen Sie den Dienst in der Liste aus und wählen
Sie „Nur folgende Benutzer und Gruppen“. Fügen Sie dann Benutzer und Gruppen zur
Liste hinzu.
Sollen sich alle Benutzer mit dem Anmeldefenster des Servers anmelden, wählen Sie
„Anmeldefenster“ und dann „Alle Benutzer und Gruppen zulassen“ aus. Zugriffssteuerung für den SSH-Dienst
Mithilfe des Programms „Server-Admin“ können Sie steuern, welche Benutzer eine Verbindung über ein Befehlszeilenprogramm zu Mac OS X Server öffnen können, indem
Sie den Befehl ssh im Programm „Terminal“ verwenden. Benutzer mit Serveradministrator-Zugriffsrechten können eine Verbindung immer mit dem Befehl ssh öffnen.
Der Befehl ssh verwendet den SSH-Dienst (Secure Shell). Informationen zum Befehl ssh
finden Sie im Handbuch Command-Line Administration. 206 Kapitel 9 Pflegen von Open Directory-Diensten Gehen Sie wie folgt vor, um zu steuern, wer eine SSH-Verbindung zu einem entfernten Server öffnen kann:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf „Einstellungen“ und anschließend auf „Zugriff“.
3 Klicken Sie auf „Dienste“.
4 Wählen Sie „Für folgende Dienste“ aus und wählen Sie in der Liste auf der linken Seite
den Eintrag „SSH“ aus.
5 Wählen Sie „Nur folgende Benutzer und Gruppen“ aus und bearbeiten Sie die Liste der
Benutzer und Gruppen, die SSH-Zugriff auf den Server erhalten sollen:
 Fügen Sie Benutzer oder Gruppen hinzu, die SSH-Verbindungen öffnen können,
indem Sie auf die Taste „Hinzufügen“ (+) klicken und die erforderlichen Informationen bereitstellen.
 Entfernen Sie Benutzer oder Gruppen aus der Liste, indem Sie einen oder mehrere
Einträge auswählen und auf die Taste „Löschen“ (–) klicken.
6 Klicken Sie auf „Sichern“.
Ist „Alle Benutzer und Gruppen zulassen“ ausgewählt, wenn Sie in Schritt 4 „Für folgende Dienste“ auswählen, erlauben alle Dienste mit Ausnahme von SSH allen Benutzern und Gruppen den Zugriff.
Wenn Sie einschränken möchten, wer neben SSH auf andere aufgelistete Dienste
zugreifen kann, wählen Sie den Dienst in der Liste aus und wählen Sie „Nur folgende
Benutzer und Gruppen“. Fügen Sie dann Benutzer und Gruppen zur Liste hinzu.
Wenn alle Benutzer eine SSH-Verbindung zum Server öffnen können sollen, wählen Sie
zuerst „SSH“ und dann „Alle Benutzer und Gruppen zulassen“. Konfigurieren der Zugriffssteuerung für Dienste
Mit dem Programm „Server-Admin“ können Sie Zugriffssteuerungslisten für Dienste
(SACLs) konfigurieren. Mithilfe von SACLs können Sie festlegen, welche Administratoren Zugriff auf Open Directory erhalten.
SACLs ermöglichen eine bessere Steuerung darüber, welche Administratoren Zugriff
zum Überwachen und Verwalten des Diensts erhalten. Nur die in einer SACL aufgelisteten Benutzer und Gruppen können auf den jeweiligen Dienst zugreifen. Wenn Sie beispielsweise Benutzern oder Gruppen Administratorzugriff für den Open Directory-Dienst
auf Ihrem Server gewähren möchten, fügen Sie sie zur Open Directory-SACL hinzu. Kapitel 9 Pflegen von Open Directory-Diensten 207 Gehen Sie wie folgt vor, um SACL-Berechtigungen für den Open DirectoryDienst festzulegen:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf „Einstellungen“ und anschließend auf „Zugriff“.
3 Klicken Sie auf „Administratoren“.
4 Wählen Sie die gewünschte Einschränkung für die Dienste aus.
Wählen Sie „Für alle Dienste“, um den Zugriff auf alle Dienste einzuschränken.
Wählen Sie „Für folgende Dienste“ und wählen Sie dann Open Directory aus der Dienstliste aus, um Zugriffsrechte für diesen Dienst festzulegen.
5 Klicken Sie auf die Taste „Hinzufügen“ (+), um das Fach „Benutzer und Gruppen“ zu öffnen.
6 Bewegen Sie Benutzer und Gruppen aus dem Fach „Benutzer und Gruppen“ in die Liste.
7 Legen Sie die Berechtigung für die Benutzer fest.
Wählen Sie „Verwalten“ aus dem Einblendmenü für Berechtigungen neben dem
Benutzernamen aus, um Administratorzugriff zu gewähren.
Wählen Sie „Überwachen“ aus dem Einblendmenü für Berechtigungen neben dem
Benutzernamen aus, um Zugriff für die Überwachung zu gewähren.
8 Klicken Sie auf „Sichern“. Konfigurieren von Zugriffsrechten für Ressourcen
Mit dem Programm „Server-Admin“ können Sie Zugriffsrechte für Ressourcen konfigurieren. Anhand dieser Zugriffsrechte können Sie festlegen, welche Benutzer oder Gruppen Ressourcentypen in der Datenbank der Verzeichnis-Domain verwalten können.
Gehen Sie wie folgt vor, um Zugriffsrechte für Ressourcentypen zu konfigurieren:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum
Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Rechte“.
5 Wählen Sie die Ressourcentypen aus, deren Verwaltung Sie Benutzern oder Gruppen
ermöglichen wollen.
„Verwalten“ bedeutet, dass der Benutzer die Eigenschaften eines vorhandenen
Ressourcentyps ändern kann. 208 Kapitel 9 Pflegen von Open Directory-Diensten Sollen ausgewählte Benutzer alle Ressourcen verwalten können, wählen Sie „Für alle
Ressourcentypen“.
Sollen ausgewählte Benutzer bestimmte Ressourcen verwalten können, wählen Sie
„Für ausgewählte Ressourcentypen“. Wählen Sie dann die Ressourcentypen aus, deren
Verwaltung Ihren Benutzern gestattet sein soll.
6 Klicken Sie auf die Taste „Hinzufügen“ (+), um das Fach „Benutzer und Gruppen“ zu öffnen.
7 Bewegen Sie Benutzer und Gruppen aus dem Fach „Benutzer und Gruppen“ in die Liste.
Die zur Liste hinzugefügten Benutzer erhalten die erforderlichen Zugriffsrechte zum
Verwalten dieses Ressourcentyps.
8 Wählen Sie die Objekte in der Liste „Ressourcentypen“ aus, deren Erstellung Sie
Benutzern oder Gruppen ermöglichen wollen.
„Erstellen“ bedeutet, dass der Benutzer diesen Ressourcentyp erstellen kann (z. B. für
einen Konferenzraum).
Sollen ausgewählte Benutzer alle Ressourcentypen erstellen können, wählen Sie „Für
alle Ressourcentypen“.
Sollen ausgewählte Benutzer bestimmte Ressourcentypen erstellen können, wählen Sie
„Für ausgewählte Ressourcentypen“. Wählen Sie dann die Objekte aus, deren Erstellung
Ihren Benutzern gestattet sein soll.
9 Klicken Sie auf die Taste „Hinzufügen“ (+), um das Fach „Benutzer und Gruppen“ zu öffnen.
10 Bewegen Sie Benutzer und Gruppen aus dem Fach „Benutzer und Gruppen“ in die Liste.
Die zur Liste hinzugefügten Benutzer erhalten die erforderlichen Zugriffsrechte zum
Erstellen dieses Ressourcentyps.
11 Klicken Sie auf „Sichern“. Überwachen von Open Directory
Sie können den Open Directory-Status und Open Directory-Protokolle anzeigen, und
Sie können Open Directory-Protokolle zur Identifizierung auf verdächtige Aktivitäten
hin untersuchen.
Anleitungen zu dieser Aufgabe finden Sie unter:
 „Überprüfen des Status eines Open Directory-Servers“ auf Seite 210
 „Überwachen von Repliken und Relais eines Open Directory-Masters“ auf Seite 210
 „Anzeigen von Open Directory-Status und -Protokollen“ auf Seite 210
 „Überwachen der Open Directory-Identifizierung“ auf Seite 211 Kapitel 9 Pflegen von Open Directory-Diensten 209 Überprüfen des Status eines Open Directory-Servers
Mithilfe des Programms „Server-Admin“ können Sie die korrekte Funktionsweise des
Open Directory-Masters feststellen.
Gehen Sie wie folgt vor, um den Status eines Open Directory-Servers zu überprüfen:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Übersicht“.
5 Vergewissern Sie sich, dass der Status aller im Übersichtsbereich von Open Directory
aufgeführten Objekte „Arbeitet“ lautet.
Wurde ein Objekt gestoppt, klicken Sie auf „Aktualisieren“ (oder wählen Sie „Darstellung“ > „Aktualisieren“). Wenn der Status von Kerberos weiterhin „Gestoppt“ lautet,
lesen Sie bitte den Abschnitt „Kerberos ist auf einem Open Directory-Master oder
einer Replik gestoppt“ auf Seite 235. Überwachen von Repliken und Relais eines Open Directory-Masters
Mit dem Programm „Server-Admin“ können Sie den Status für die Replikerstellung und
für die weitere Replikation überprüfen.
Gehen Sie wie folgt vor, um Repliken oder Relais eines Open Directory-Masters
zu überwachen:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“, um eine Liste der Repliken
und deren Status einzublenden.
Am Status einer neuen Replik lässt sich erkennen, ob die Erstellung erfolgreich war.
Danach kennzeichnet der Status, ob die aktuellste Replikation erfolgreich ausgeführt wurde. Anzeigen von Open Directory-Status und -Protokollen
Mit dem Programm „Server-Admin“ können Sie Statusinformationen und Protokolle für
Open Directory-Dienste ansehen. Folgende Protokolle sind verfügbar:
 Verzeichnisdienste-Serverprotokoll
 Verzeichnisdienste-Fehlerprotokoll
 kadmin-Protokoll 210 Kapitel 9 Pflegen von Open Directory-Diensten Â
Â
Â
Â
Â
 kdc-Protokoll LDAP-Protokoll
Kennwortdienst-Serverprotokoll
Kennwortdienst-Fehlerprotokoll
Kennwortdienst-Replikationsprotokoll
slapconfig-Protokoll Gehen Sie wie folgt vor, um den Status oder die Protokolle der Verzeichnisdienste anzuzeigen:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Übersicht“, um Statusinformationen anzuzeigen.
5 Klicken Sie auf „Protokolle“ und wählen Sie aus dem Einblendmenü „Anzeigen“ das
gewünschte Protokoll aus.
Der Pfad zur Protokolldatei wird über dem Protokoll eingeblendet.
6 Geben Sie optional Text in das Suchfeld ein und drücken Sie den Zeilenschalter, um nur
Zeilen mit dem von Ihnen eingegebenen Text anzuzeigen. Überwachen der Open Directory-Identifizierung
Sie können Kennwortdienst-Protokolle verwenden, die mit Server-Admin angezeigt werden, um fehlgeschlagene Anmeldeversuche für verdächtige Aktivitäten zu überwachen.
Open Directory zeichnet fehlgeschlagene Anmeldeversuche, einschließlich der IP-Adressen, die sie erzeugen, in Protokollen auf. Überprüfen Sie die Protokolle regelmäßig, um
festzustellen, ob es eine große Anzahl fehlgeschlagener Versuche für dieselbe KennwortID gibt, was darauf hinweist, dass jemand versucht, Anmeldedaten herauszufinden.
Gehen Sie wie folgt vor, um Open Directory-Identifizierungsprotokolle anzuzeigen:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Protokolle“ und wählen Sie das Protokoll kdc oder ein KennwortdienstProtokoll aus dem Einblendmenü „Anzeigen“ aus. Kapitel 9 Pflegen von Open Directory-Diensten 211 Anzeigen und Bearbeiten von Verzeichnisdaten
Sie können unformatierte Verzeichnisdaten mithilfe des Fensters „Detailansicht“ im
Arbeitsgruppenmanager anzeigen oder bearbeiten. Wenn Sie das Fenster „Detailansicht“ verwenden, sind Verzeichnisdaten verfügbar, die andernfalls im Arbeitsgruppenmanager nicht angezeigt werden.
Mit dem Fenster „Detailansicht“ lassen sich Verzeichnisdaten bearbeiten, die Sie auf
andere Weise im Arbeitsgruppenmanager nicht ändern können. Zum Beispiel können
Sie die Detailansicht verwenden, um den ersten Kurznamen eines Benutzers zu ändern.
Weitere Informationen hierzu finden Sie in folgenden Abschnitten:
 „Einblenden der Verzeichnisdetailansicht“ auf Seite 212
 „Ausblenden der Detailansicht“ auf Seite 213
 „Konfigurieren der Zugriffssteuerung für die Verzeichnisdienste“ auf Seite 213
 „Löschen von Einträgen“ auf Seite 214
 „Löschen von Benutzern oder Computern mithilfe des Fensters „Detailansicht“ oder
der Befehlszeile“ auf Seite 214
 „Ändern des Kurznamens eines Benutzers“ auf Seite 215 Einblenden der Verzeichnisdetailansicht
Durch Auswahl einer bestimmten Option können Sie die Detailansicht im Arbeitsgruppenmanager anzeigen. Anschließend können Sie die Detailansicht verwenden,
um unformatierte Verzeichnisdaten anzuzeigen oder zu bearbeiten.
ACHTUNG: Das Ändern von unformatierten Daten in einem Verzeichnis kann unerwartete und unerwünschte Folgen haben. Möglicherweise entziehen Sie damit Benutzern
oder Computern versehentlich bestimmte Rechte oder weisen Benutzern unbeabsichtigt Zugriffsrechte auf weitere Ressourcen zu.
Gehen Sie wie folgt vor, um das Fenster „Detailansicht“ anzuzeigen:
1 Starten Sie den Arbeitsgruppenmanager.
2 Wählen Sie „Arbeitsgruppenmanager“ > „Einstellungen“.
3 Wählen Sie die Option „Titel „Alle Einträge“ und „Detailansicht“ einblenden“ und klicken
Sie auf „OK“.
4 Zum Anzeigen von Attributen von Benutzern, Benutzergruppen, Computern oder Computergruppen klicken Sie auf die Taste „Benutzer“, Benutzergruppen“, „Computer“ oder
„Computergruppen“ und klicken dann auf die Taste „Detailansicht“ (auf der rechten Seite).
5 Zum Anzeigen anderer Eintragstypen klicken Sie auf die Taste „Alle Einträge“ (die kleine
Zielscheibe) neben der Taste „Computergruppen“ und wählen einen Eintragstyp aus
dem Einblendmenü über der Liste aus. 212 Kapitel 9 Pflegen von Open Directory-Diensten Im Einblendmenü sind alle Standard-Eintragstypen aufgeführt, die in der VerzeichnisDomain vorhanden sind. Sie können auch „Nativ“ aus dem Einblendmenü auswählen
und den Namen eines nativen Eintrags in das Feld unter dem Einblendmenü eingeben.
In der Liste werden alle Einträge des Eintragstyps angezeigt, einschließlich vordefinierter Einträge. Ausblenden der Detailansicht
Wenn die Detailansicht im Arbeitsgruppenmanager angezeigt wird, können Sie sie durch
Auswahl einer Option in den Einstellungen des Arbeitsgruppenmanagers ausblenden.
Gehen Sie wie folgt vor, um das Fenster „Detailansicht“ auszublenden:
1 Starten Sie den Arbeitsgruppenmanager.
2 Wählen Sie „Arbeitsgruppenmanager“ > „Einstellungen“.
3 Deaktivieren Sie die Option „Titel „Alle Einträge“ und „Detailansicht“ einblenden“ und
klicken Sie auf „OK“. Konfigurieren der Zugriffssteuerung für die Verzeichnisdienste
Open Directory bietet die Möglichkeit, für alle Komponenten des LDAP-Verzeichnisses
eine Zugriffssteuerung für Verzeichnisdienste (DAC, Directory Access Control) festzulegen und so zu steuern, welcher Benutzer welche Einstellungen ändern kann. Open
Directory speichert DACs in einem apple-acl-Eintrag, den Sie mit dem Fenster „Detailansicht“ im Arbeitsgruppenmanager bearbeiten können.
Gehen Sie wie folgt vor, um DACs zu ändern:
1 Öffnen Sie den Arbeitsgruppenmanager und zeigen Sie das Fenster „Detailansicht“ an,
falls es ausgeblendet ist.
Weitere Informationen hierzu finden Sie im Abschnitt „Einblenden der Verzeichnisdetailansicht“ auf Seite 212.
2 Öffnen Sie die Verzeichnis-Domain, deren Zugriffssteuerungen Sie konfigurieren wollen,
und identifizieren Sie sich als Administrator der Domain.
Klicken Sie zum Öffnen einer Verzeichnis-Domain auf das kleine Kugelsymbol über der
Benutzerliste und wählen Sie die entsprechende Option aus dem Einblendmenü aus.
3 Klicken Sie auf die Taste „Alle Einträge“ (neben der Taste „Computergruppe“) und wählen
Sie dann aus dem Einblendmenü oben in der Liste „AccessControls“ aus.
4 Wählen Sie in der Liste der Einträge „default“ aus.
5 Wählen Sie in der Liste der Einträge „Locate AccessControlEntry“ aus. Wird neben
„AccessControlEntry“ ein Dreiecksymbol angezeigt, klicken Sie darauf, um alle Zugriffssteuerungseinträge anzuzeigen.
6 Wählen Sie einen Eintrag aus „AccessControlEntry“ und klicken Sie anschließend auf
„Bearbeiten“, um den Wert zu ändern. Oder Sie klicken auf „Neuer Wert“, um einen
eigenen Wert hinzuzufügen.
Sie können einen Wert außerdem durch Doppelklicken auswählen, um ihn zu bearbeiten.
7 Klicken Sie auf „Sichern“.
Kapitel 9 Pflegen von Open Directory-Diensten 213 Löschen von Einträgen
Mit dem Fenster „Detailansicht“ im Arbeitsgruppenmanager können Sie Einträge löschen.
ACHTUNG: Nachdem Sie mit dem Fenster „Detailansicht“ Benutzer- oder Computereinträge gelöscht haben, löschen Sie die entsprechende Kerberos-Identität und den
Kennwortserver-Slot. Wenn Sie eine Kerberos-Identität oder einen KennwortserverSlot unvollständig belassen, kann dies zu Konflikten mit einem später erstellten
Benutzer- oder Computereintrag führen.
ACHTUNG: Das Löschen von Einträgen kann dazu führen, dass der Server fehlerhaft
arbeitet oder aussetzt. Löschen Sie Einträge nur, wenn Sie wissen, dass sie für die
korrekte Funktionsweise des Servers nicht erforderlich sind.
Gehen Sie wie folgt vor, um Einträge mithilfe des Fensters „Detailansicht“ zu löschen:
1 Öffnen Sie den Arbeitsgruppenmanager und blenden Sie das Fenster „Detailansicht“
ein, falls es ausgeblendet ist.
Weitere Informationen hierzu finden Sie im Abschnitt „Einblenden der Verzeichnisdetailansicht“ auf Seite 212.
2 Öffnen Sie die Verzeichnis-Domain, aus der Sie einen Eintrag löschen möchten, und
identifizieren Sie sich als Administrator der Domain.
Klicken Sie zum Öffnen einer Verzeichnis-Domain auf das kleine Kugelsymbol über der
Benutzerliste und wählen Sie die entsprechende Option aus dem Einblendmenü aus.
3 Klicken Sie auf die Taste „Alle Einträge“ (neben der Taste „Computergruppe“) und wählen
Sie dann aus dem Einblendmenü über der Liste einen Datensatztyp aus.
4 Wählen Sie in der Liste der Einträge einen oder mehrere zu löschende Einträge aus.
5 Klicken Sie in der Symbolleiste auf „Löschen“ (oder wählen Sie „Server“ > „Ausgewählte
Einträge löschen“). Löschen von Benutzern oder Computern mithilfe des Fensters
„Detailansicht“ oder der Befehlszeile
Wenn Sie das Fenster „Detailansicht“ im Arbeitsgruppenmanager oder Befehlszeilenprogramme im Programm „Terminal“ verwenden, um einen Benutzer- oder Computereintrag zu löschen, dessen Attribut „AuthenticationAuthority“ einen Kennwortserveroder Kerberos-Wert umfasst, löschen Sie die entsprechende Kerberos-Identität und
den entsprechenden Kennwortserver-Slot. 214 Kapitel 9 Pflegen von Open Directory-Diensten Wenn Sie eine Kerberos-Identität im Kerberos-KDS oder einen Kennwortserver-Slot
unvollständig belassen, kann dies zu Konflikten mit einem später erstellten Benutzeroder Computereintrag führen.
Wenn das Attribut „AuthenticationAuthority“ einen Wert beginnend mit ;Kerberosv5;
enthält, verwenden Sie den Befehl delete_principal des Befehlszeilenprogramms
kadmin.local im Programm „Terminal“, um die entsprechende Kerberos-Identität aus
dem Kerberos-KDC zu löschen. Weitere Informationen hierzu finden Sie auf der manSeite kadmin.local.
Wenn das Attribut „AuthenticationAuthority“ einen Wert beginnend mit
;ApplePasswordServer; enthält, verwenden Sie den Befehl -deleteslot des Befehlszeilenprogramms mkpassdb im Programm „Terminal“, um den entsprechenden Kennwortserver-Slot zu löschen. Weitere Informationen hierzu finden Sie auf der manSeite mkpassdb.
Wenn Sie einen Benutzer-Account im Arbeitsgruppenmanager löschen, indem Sie
auf die Taste „Benutzer“ (nicht die Taste „Alle Einträge“) auf der linken Seite klicken,
den Benutzer-Account auswählen und in der Symbolleiste des Arbeitsgruppenmanagers auf „Löschen“ klicken (oder indem Sie „Server“ > „Ausgewählte Benutzer löschen“
wählen), entfernt der Arbeitsgruppenmanger den Kennwortserver-Slot des BenutzerAccounts und die Kerberos-Identität für Sie.
Wenn Sie einen Computereintrag löschen, indem Sie ihn in einer Computergruppe
auswählen und auf die Taste „Löschen“ klicken, entfernt der Arbeitsgruppenmanager
den Kennwortserver-Slot und die Kerberos-Identität des Computereintrags für Sie. Ändern des Kurznamens eines Benutzers
Sie können das Befehlszeilenprogramm ldapmodrdn im Programm „Terminal“ verwenden,
um den ersten Kurznamen eines Benutzers zu ändern. Abgesehen vom ersten Namen
können alle anderen Kurznamen im Bereich „Allgemein“ eines ArbeitsgruppenmanagerFensters geändert werden.
ACHTUNG: Das Ändern des ersten Kurznamens eines Benutzers kann unerwartete
und unerwünschte Folgen haben. Andere Dienste verwenden den ersten Kurznamen
jedes Benutzers als eindeutige und dauerhafte Bezeichnung.
Bei einer Änderung des ersten Kurznamens eines Benutzers wird beispielsweise nicht
der Benutzerordner dieses Benutzers umbenannt. Der Benutzer verwendet denselben
Benutzerordner (auch wenn dessen Name nicht mit dem neuen ersten Kurznamen des
Benutzers übereinstimmt), es sei denn, der Benutzer greift über eine Gruppenmitgliedschaft auf seinen Benutzerordner zu. Kapitel 9 Pflegen von Open Directory-Diensten 215 Im folgenden Beispiel wird gezeigt, wie der Kurzname eines Benutzer-Accounts mit dem
Befehl ldapmodrdn geändert wird:
$ ldapmodrdn -U diradmin -Y "cram-md5" -W -r "uid=oldshortname,cn=users,dc=example,dc=com" "uid=newshortname" Bei diesem Beispiel wird vorausgesetzt, dass Sie das Programm „Terminal“ auf dem
Open Directory-Master-Server verwenden oder mithilfe dieses Programms auf einem
anderen Computer eine SSH-Verbindung mit dem Open Directory-Master-Server eingerichtet haben.
Sie ersetzen im vorliegenden Beispiel diradmin durch den Namen eines Verzeichnisadministrators, oldshortname durch den zu ändernden Kurznamen und newshortname
durch den neuen Kurznamen.
Außerdem müssen Sie dc=example,dc=com durch das Suchbeginn-Suffix des Servers
ersetzen. Sie können das Suchbeginn-Suffix des Servers ermitteln, indem Sie im Programm „Server-Admin“ den Dienst „Open Directory“ auswählen und dann auf „Protokolle“ klicken.
Wenn Sie den ersten Kurznamen eines Benutzereintrags mit mehreren Kurznamen
mithilfe des Befehls ldapmodrdn ändern, wird der zweite Kurzname des Eintrags zum
ersten Kurznamen und der neue Kurzname zum letzten Kurznamen.
Verwenden Sie das Befehlszeilenprogramm ldapmodify, um Kurznamen neu anzuordnen. Weitere Informationen hierzu finden Sie auf der man-Seite ldapmodify. Importieren von Einträgen beliebigen Typs
Der Arbeitsgruppenmanager kann alle Typen von Einträgen in das LDAP-Verzeichnis eines
Open Directory-Masters importieren. Hierzu zählen Benutzer, Benutzergruppen, Computergruppen, Computer und alle anderen standardmäßigen Mac OS X-Eintragstypen.
Wichtig: Wenn Sie Benutzer- oder Gruppeneinträge aus einer von Mac OS X Server 10.3
(oder älter) exportierten Datei importieren, wird jedem importierten Eintrag eine eindeutige ID (UID) zugewiesen. Stellen Sie sicher, dass GUIDs und deren Beziehungen zu
bestimmten Benutzern und Gruppen gleich bleiben (falls Sie dieselben Benutzer und
Gruppen erneut importieren müssen), indem Sie mit dem Arbeitsgruppenmanager von
Mac OS X Server 10.5 eine Exportdatei erstellen. Verwenden Sie die 10.5-Exportdatei
anstatt der mit der älteren Serverversion erstellten Exportdatei. 216 Kapitel 9 Pflegen von Open Directory-Diensten Eine Liste der Eintragstypen und -attribute, die importiert werden können, finden Sie in
der folgenden Datei:
System/Library/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h
Informationen zu bekannten Eintrags- bzw. Datensatztypen und -attributen finden
Sie im Abschnitt „Standardmäßige Open Directory-Datensatztypen und -attribute“
auf Seite 294.
Weitere Informationen zum Exportieren von Benutzern und Gruppen mit dem Arbeitsgruppenmanager sowie zum Importieren von Einträgen aller Art finden Sie im Handbuch Benutzerverwaltung. Festlegen von Optionen für einen Open Directory-Server
Sie können Bindungs-, Sicherheits- und Kennwortrichtlinien für einen Open DirectoryMaster und dessen Repliken einstellen. Sie können auch mehrere LDAP-Optionen für
einen Open Directory-Master oder eine Replik festlegen. Weitere Informationen finden
Sie unter:
 „Festlegen einer Bindungsrichtlinie für einen Open Directory-Server“ auf Seite 217
 „Festlegen einer Sicherheitsrichtlinie für einen Open Directory-Server“ auf Seite 218
 „Ändern der globalen Kennwortrichtlinie“ auf Seite 127
 „Ändern des Speicherorts einer LDAP-Datenbank“ auf Seite 220
 „Beschränken der Suchergebnisse für den LDAP-Dienst“ auf Seite 221
 „Festlegen eines Zeitlimits für Suchvorgänge für den LDAP-Dienst“ auf Seite 221
 „Konfigurieren von SSL für den LDAP-Dienst“ auf Seite 222
 „Erstellen einer angepassten SSL-Konfiguration für LDAP“ auf Seite 222 Festlegen einer Bindungsrichtlinie für einen Open Directory-Server
Mithilfe von Server-Admin können Sie einen Open Directory-Master so konfigurieren,
dass er eine vertrauenswürdige Bindung zwischen dem LDAP-Verzeichnis und den
darauf zugreifenden Computern erlaubt bzw. anfordert. Repliken des Open DirectoryMasters übernehmen automatisch dessen Bindungsrichtlinie.
Bei einer vertrauenswürdigen LDAP-Bindung erfolgt eine gegenseitige Identifizierung. Der Computer bestätigt seine Identität gegenüber dem LDAP-Verzeichnis
durch Angabe eines Benutzernamens und Kennworts eines LDAP-Verzeichnisadministrators. Das LDAP-Verzeichnis bestätigt seine Vertrauenswürdigkeit mithilfe eines
identifizierten Computereintrags, der beim Konfigurieren der vertrauenswürdigen
Bindung im Verzeichnis erstellt wird. Kapitel 9 Pflegen von Open Directory-Diensten 217 Clients können nicht so konfiguriert werden, dass sowohl eine vertrauenswürdige
LDAP-Bindung als auch ein von DHCP bereitgestellter LDAP-Server verwendet wird
(auch als DHCP-Option 95 bezeichnet). Bei einer vertrauenswürdigen LDAP-Bindung
handelt es sich von Natur aus um eine statische Bindung, bei über DHCP bereitgestelltem LDAP um eine dynamische Bindung. Weitere Informationen hierzu finden Sie im
Abschnitt „Aktivieren oder Deaktivieren eines von DHCP bereitgestellten LDAP-Verzeichnisses“ auf Seite 156.
Hinweis: Damit eine vertrauenswürdige LDAP-Bindung verwendet werden kann, müssen
Clients Version 10.4 oder neuer von Mac OS X oder Mac OS X Server ausführen. Clients mit
Version 10.3 (oder neuer) können keine vertrauenswürdige Bindung einrichten.
Gehen Sie wie folgt vor, um die Bindungsrichtlinie für einen Open DirectoryMaster festzulegen:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open
Directory-Master-Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Richtlinien“.
5 Klicken Sie auf „Bindung“ und legen Sie die gewünschten Optionen für die Verzeichnisbindung fest:
 Wählen Sie „Identifizierte Verzeichnisbindung aktivieren“, um die vertrauenswürdige
Bindung zuzulassen.
 Wählen Sie außerdem „Identifizierte Verzeichnisbindung der Clients erzwingen“, um
eine vertrauenswürdige Bindung anzufordern.
6 Klicken Sie auf „Sichern“.
Wichtig: Wenn Sie „Alle Pakete verschlüsseln (SSL oder Kerberos erforderlich)“ und
„Identifizierte Verzeichnisbindung aktivieren“ auswählen, vergewissern Sie sich, dass
Ihre Benutzer eine der beiden Möglichkeiten für die Bindung verwenden und nicht
beide. Festlegen einer Sicherheitsrichtlinie für einen Open Directory-Server
Mithilfe des Programms „Server-Admin“ können Sie eine Sicherheitsrichtlinie für den
Zugriff auf das LDAP-Verzeichnis eines Open Directory-Masters konfigurieren.
Repliken des Open Directory-Masters übernehmen automatisch dessen Sicherheitsrichtlinie. 218 Kapitel 9 Pflegen von Open Directory-Diensten Hinweis: Wenn Sie die Sicherheitsrichtlinie für das LDAP-Verzeichnis eines Open
Directory-Masters ändern, müssen Sie die Verbindung aller mit diesem LDAP-Verzeichnis verbundenen Computer trennen und wieder herstellen. Verwenden Sie
dazu das Programm „Verzeichnisdienste“ wie in den Abschnitten „Entfernen einer
Verbindung zu einem Verzeichnisserver“ auf Seite 140 und „Hinzufügen einer Verbindung zu einem Open Directory-Server“ auf Seite 140 beschrieben.
Gehen Sie wie folgt vor, um die Sicherheitsrichtlinie für einen Open DirectoryMaster festzulegen:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open
Directory-Master-Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Richtlinien“.
5 Klicken Sie auf „Bindung“ und legen Sie die gewünschten Sicherheitsoptionen fest:
 Klartextkennwörter deaktivieren: Bestimmt, ob Clients Kennwörter unverschlüsselt
senden können, wenn sich die Kennwörter mit keiner der Identifizierungsmethoden
überprüfen lassen, die ein verschlüsseltes Kennwort senden. Weitere Informationen
hierzu finden Sie in den Abschnitten „Auswählen von Identifizierungsmethoden für
Benutzer von „Shadow“-Kennwörtern“ auf Seite 130 und „Auswählen von Identifizierungsmethoden für Open Directory-Kennwörter“ auf Seite 131.
 Alle Pakete digital signieren (Kerberos erforderlich): Sorgt dafür, dass Verzeichnisdaten vom LDAP-Server nicht von einem anderen Computer abgefangen und geändert werden, wenn sie an Client-Computer gesendet werden.
 Alle Pakete verschlüsseln (SSL oder Kerberos erforderlich): Weist den LDAP-Server
an, Verzeichnisdaten mit SSL oder Kerberos zu verschlüsseln, bevor sie an ClientComputer gesendet werden.
 Man-in-the-Middle-Angriffe blockieren (Kerberos erforderlich): Bietet Schutz vor
einem illegalen Server, der sich als der LDAP-Server ausgibt. Diese Option sollte für
optimale Ergebnisse gemeinsam mit der Option „Alle Pakete digital signieren“ verwendet werden.
 Zwischenspeicherung auf dem Client deaktivieren: Verhindert, dass Client-Computer LDAP-Daten lokal im Cache ablegen.
 Benutzern erlauben, ihre eigenen Kontaktinformationen zu bearbeiten: Erlaubt
Benutzern, Kontaktinformationen auf dem LDAP-Server zu ändern.
6 Klicken Sie auf „Sichern“. Kapitel 9 Pflegen von Open Directory-Diensten 219 Wichtig: Wenn Sie „Alle Pakete verschlüsseln (SSL oder Kerberos erforderlich)“ und
„Identifizierte Verzeichnisbindung aktivieren“ auswählen, vergewissern Sie sich,
dass Ihre Benutzer eine der beiden Möglichkeiten für die Bindung verwenden und
nicht beide.
Basierend auf diesen Einstellungen können die Sicherheitsoptionen auch auf jedem
Client eines Open Directory-Masters bzw. einer Open Directory-Replik konfiguriert
werden. Wird eine Option hier ausgewählt, so kann sie nicht für einen Client deaktiviert werden. Weitere Informationen zum Konfigurieren dieser Optionen auf einem
Client finden Sie im Abschnitt „Ändern der Sicherheitsrichtlinie für eine LDAP-Verbindung“ auf Seite 170. Ändern des Speicherorts einer LDAP-Datenbank
Mit dem Programm „Server-Admin“ können Sie den Speicherort der Datenbank auf der
Festplatte angeben, in der Benutzereinträge und andere Informationen einer LDAP-Verzeichnis-Domain eines Open Directory-Masters bzw. einer Open Directory-Replik gespeichert werden. Die LDAP-Datenbank befindet sich im Normalfall auf dem Startvolume,
kann aber auch auf einem anderen lokalen Volume definiert sein.
Hinweis: Aus Sicherheitsgründen befinden sich Datenbanken mit Identifizierungsinformationen für Open Directory und Kerberos immer auf dem Startvolume, unabhängig
vom Speicherort der LDAP-Datenbank.
Gehen Sie wie folgt vor, um den Speicherort einer LDAP-Datenbank zu ändern:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open
Directory-Master oder einem Open Directory-Replikserver her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „LDAP“.
5 Wählen Sie aus dem Einblendmenü „Konfigurieren“ die Option „LDAP-Einstellungen“ aus
und geben Sie dann den Ordnerpfad an, an dem sich die LDAP-Datenbank befinden soll.
Sie können einen Ordnerpfad in das Feld „Datenbank“ eingeben oder einen Speicherort auswählen, indem Sie auf „Wählen“ klicken und zu einem Speicherort Ihrer Wahl für
den Ordner navigieren.
6 Klicken Sie auf „Sichern“. 220 Kapitel 9 Pflegen von Open Directory-Diensten Beschränken der Suchergebnisse für den LDAP-Dienst
Mithilfe des Programms „Server-Admin“ können Sie einen Typ von DoS-Angriffen
(Denial-of-Service) auf Mac OS X Server verhindern, indem Sie die Anzahl der Suchergebnisse beschränken, die von der gemeinsam genutzten LDAP-Verzeichnis-Domain
des Servers zurückgegeben werden. Das Beschränken der Anzahl von Suchergebnissen hindert einen unbefugten Benutzer daran, den Server durch Senden mehrerer
pauschaler LDAP-Suchanforderungen zu blockieren.
Gehen Sie wie folgt vor, um LDAP-Suchergebnisse einzuschränken:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open
Directory-Master oder einem Open Directory-Replikserver her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „LDAP“.
5 Wählen Sie aus dem Einblendmenü „Konfigurieren“ die Option „LDAP-Einstellungen“
aus. Geben Sie dann die maximale Anzahl zurückzugebender Suchergebnisse in das
Feld „Höchstzahl Rückgabewerte ist __ Suchergebnisse“ ein.
6 Klicken Sie auf „Sichern“. Festlegen eines Zeitlimits für Suchvorgänge für den LDAP-Dienst
Mithilfe des Programms „Server-Admin“ können Sie einen Typ von DoS-Angriffen
(Denial-of-Service) auf Mac OS X Server verhindern, indem Sie für den Server ein Zeitlimit für einen Suchvorgang in der freigegebenen LDAP-Verzeichnis-Domain festlegen.
Die Zeitbegrenzung für die Suche hindert einen unbefugten Benutzer daran, den Server
durch Senden einer außergewöhnlich komplexen LDAP-Suchanforderung zu blockieren.
Gehen Sie wie folgt vor, um ein Zeitlimit für Suchvorgänge für den LDAPDienst festzulegen:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open
Directory-Master oder einem Open Directory-Replikserver her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „LDAP“.
5 Wählen Sie aus dem Einblendmenü „Konfigurieren“ die Option „LDAP-Einstellung“ aus.
Geben Sie dann ein Zeitlimit im Feld „Suchzeitüberschreitung nach __“ ein.
Legen Sie das Zeitlimit mithilfe des Einblendmenüs fest.
6 Klicken Sie auf „Sichern“. Kapitel 9 Pflegen von Open Directory-Diensten 221 Konfigurieren von SSL für den LDAP-Dienst
Mithilfe des Programms „Server-Admin“ können Sie SSL (Secure Sockets Layer) für
die verschlüsselte Kommunikation zwischen der LDAP-Verzeichnis-Domain eines
Open Directory-Servers und Computern aktivieren, die darauf zugreifen. SSL stellt
über ein digitales Zertifikat eine zertifizierte Identität für den Server bereit. Sie können ein selbstsigniertes Zertifikat oder ein von einer Zertifizierungsinstanz ausgestelltes Zertifikat verwenden.
Umfassende Informationen zum Definieren, Abrufen und Installieren von Zertifikaten
auf Ihrem Server finden Sie im Handbuch Mac OS X Server-Sicherheitskonfiguration.
Die SSL-Kommunikation für LDAP verwendet Port 636. Wenn SSL für den LDAP-Dienst
deaktiviert ist, erfolgt die Kommunikation in Form von unverschlüsseltem Text über
Port 389.
Gehen Sie wie folgt vor, um die SSL-Kommunikation für den LDAP-Dienst
zu konfigurieren:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open
Directory-Master oder einem Open Directory-Replikserver her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „LDAP“.
5 Wählen Sie aus dem Einblendmenü „Konfigurieren“ die Option „LDAP-Einstellungen“
aus und markieren Sie dann das Feld „SSL aktivieren“.
6 Wählen Sie aus dem Einblendmenü „Zertifikat“ ein SSL-Zertifikat aus, das der LDAPDienst verwenden soll.
Im Menü werden alle auf dem Server installierten SSL-Zertifikate aufgeführt. Wenn
Sie ein nicht aufgeführtes Zertifikat verwenden möchten, wählen Sie „Eigene Konfiguration“ aus dem Einblendmenü aus.
7 Klicken Sie auf „Sichern“. Erstellen einer angepassten SSL-Konfiguration für LDAP
SSL stellt über ein digitales Zertifikat eine zertifizierte Identität für den Server bereit.
Mithilfe angepasster digitaler Zertifikate können Sie SSL für Ihre Netzwerkumgebung
konfigurieren. In den nachfolgenden Schritten werden die auf der Befehlszeile basierende Methode zum Erstellen angepasster Zertifikate beschrieben und Anleitungen
zu deren Umsetzung in Server-Admin genannt. 222 Kapitel 9 Pflegen von Open Directory-Diensten Gehen Sie wie folgt vor, um ein Open Directory-Dienstzertifikat zu erstellen:
1 Generieren Sie einen privaten Schlüssel für den Server im Ordner „/usr/share/certs“:
Ist der Ordner „/usr/share/certs“ nicht vorhanden, erstellen Sie ihn.
$ sudo openssl genrsa -out ldapserver.key 2048 2 Generieren Sie eine CSR-Anfrage (CSR), die von der Zertifizierungsinstanz zu signieren ist:
$ sudo openssl req -new -key ldapserver.key -out ldapserver.csr 3 Füllen Sie die folgenden Felder so vollständig wie möglich aus und vergewissern Sie
sich, dass das Feld „Common Name“ (Allgemeiner Name) mit dem Domain-Namen des
LDAP-Servers genau übereinstimmt. Die Felder für die Kennwortanforderung und den
optionalem Firmennamen bleiben leer:
Country Name:
Organizational Unit:
State or Province Name:
Common Name:
Locality Name (city):
Email Address:
Organization Name: 4 Signieren Sie die Anforderung „ldapserver.csr“ mit dem Befehl openssl.
$ sudo openssl ca -in ldapserver.csr -out ldapserver.crt 5 Geben Sie bei Aufforderung das Kennwort der Zertifizierungsinstanz ein, um den
Prozess fortzusetzen und abzuschließen.
Die Zertifikatdateien, die für die Aktivierung von SSL auf dem LDAP-Server benötigt
werden, befinden sich nun im Ordner „/usr/share/certs“.
6 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open
Directory-Master oder einem Open Directory-Replikserver her.
7 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
8 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
9 Klicken Sie auf „Einstellungen“ und dann auf „LDAP“.
10 Wählen Sie aus dem Einblendmenü „Konfigurieren“ die Option „LDAP-Einstellungen“ aus.
11 Wählen Sie „SSL (Secure Sockets Layer) aktivieren“.
12 Wählen Sie aus dem Einblendmenü „Zertifikat“ ein SSL-Zertifikat aus, das der LDAPDienst verwenden soll.
Im Menü werden alle auf dem Server installierten SSL-Zertifikate aufgeführt. Wenn
Sie ein nicht aufgeführtes Zertifikat verwenden möchten, wählen Sie „Eigene Konfiguration“ aus dem Einblendmenü aus.
13 Klicken Sie auf „Sichern“. Kapitel 9 Pflegen von Open Directory-Diensten 223 Verwalten der Open Directory-Replikation
Sie können einen Zeitplan für die Open Directory-Replikation festlegen oder nach
Bedarf replizieren. Außerdem können Sie eine Replik in einen Master umwandeln
oder eine Replik deaktivieren.
Weitere Informationen hierzu finden Sie in folgenden Abschnitten:
 „Planen der Replikation eines Open Directory-Masters oder primären DomainControllers (PDC)“ auf Seite 224
 „Synchronisieren einer Open Directory-Replik oder eines BDCs bei Bedarf“
auf Seite 225
 „Umwandeln einer Open Directory-Replik in ein Relais“ auf Seite 226
 „Umwandeln einer Open Directory-Replik in einen Master“ auf Seite 226
 „Deaktivieren einer Open Directory-Replik“ auf Seite 229 Planen der Replikation eines Open Directory-Masters oder
primären Domain-Controllers (PDC)
Mit dem Programm „Server-Admin“ können Sie festlegen, wie häufig die Repliken eines
Open Directory-Masters mit Änderungen an Verzeichnis- und Identifizierungsinformationen aktualisiert werden. Der Master kann die Repliken aktualisieren, wenn eine Änderung in der Master-Verzeichnis-Domain erfolgt oder indem ein von Ihnen festgelegter
Zeitplan befolgt wird.
Dieselben Schritte werden verwendet, wenn Sie Mac OS X Server als einen PDC konfigurieren. Sie legen den Zeitplan für die PDC-Replikation an den Backup-DomainController (BDC) fest, indem Sie die Open Directory-Replikation planen.
Gehen Sie wie folgt vor, um zu planen, wie häufig die Repliken oder BDCs eines
Open Directory-Masters oder PDCs aktualisiert werden:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum
Open Directory-Master- oder PDC-Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 224 Kapitel 9 Pflegen von Open Directory-Diensten 5 Geben Sie eine Replikationsfrequenz an:
 An Clients replizieren: immer, wenn das Verzeichnis geändert wird: Aktualisiert
Repliken mit Echtzeit-Änderungen, erhöht jedoch die Netzwerkauslastung. Hierdurch kann die Leistung des Masters beeinträchtigt werden, wenn eine Replik über
eine langsame Netzwerkverbindung verbunden wird.
 An Clients replizieren: alle __: Ermöglicht die Planung weniger häufiger Aktualisierungen (durch Festlegen eines längeren Intervalls). Seltenere Aktualisierungen führen
zu geringerer Genauigkeit der Repliken, erfordern dafür jedoch auch weniger Netzwerkverbindungen zwischen dem Master und seinen Repliken. Wenn sich Repliken
nicht alle im selben LAN wie der Master befinden, sind weniger Netzwerkverbindungen u. U. wünschenswert.
6 Klicken Sie auf „Sichern“. Synchronisieren einer Open Directory-Replik oder eines BDCs bei Bedarf
Obwohl ein Open Directory-Master oder PDC seine Verzeichnis- und Identifizierungsdaten mit registrierten Repliken oder BDCs synchronisiert, können Sie die Daten mithilfe
von Server-Admin bei Bedarf mit einer ausgewählten Replik oder einem ausgewählten
BDC synchronisieren.
Gehen Sie wie folgt vor, um eine Open Directory-Replik oder einen BDC bei Bedarf
zu synchronisieren:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum
Open Directory-Master- oder PDC-Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“.
5 Wählen Sie eine Replik oder einen BDC in der Liste aus und klicken Sie dann auf
„Jetzt replizieren“. Kapitel 9 Pflegen von Open Directory-Diensten 225 Umwandeln einer Open Directory-Replik in ein Relais
Zwischen einem Relais und einer Replik besteht kein großer Unterschied. Beide verfügen
über eine schreibgeschützte Kopie der LDAP-Verzeichnis-Domain des Open DirectoryMasters sowie über eine Kopie des Open Directory-Kennwortservers und des KerberosKDC (Key Distribution Center) mit Schreib- und Lesezugriff.
Bei einem Relais handelt es sich um eine direkte Mitgliedsreplik eines Open DirectoryMasters mit Repliken, an die er repliziert.
Sie können eine Open Directory-Replik in ein Relais umwandeln, indem Sie Folgendes sicherstellen:
 Bei der Replik muss es sich um eine direkte Replik des Open Directory-Masters
handelt (erste Ebene).
 Die Replik muss über Repliken verfügen (Unterstützung für bis zu 32 Repliken).
Weitere Informationen zu Relais finden Sie im Abschnitt „Kaskadierende Replikation“
auf Seite 74. Umwandeln einer Open Directory-Replik in einen Master
Wenn ein Open Directory-Master ausfällt und sich auch aus einer Sicherungskopie
nicht wiederherstellen lässt, können Sie eine Replik in einen Master umwandeln. Der
neue Master (umgewandelte Replik) verwendet die Verzeichnis- und Identifizierungsdatenbanken der Replik.
Anschließend müssen Sie alle anderen Repliken des alten Masters in eigenständige
Verzeichnisdienste und dann in Repliken des neuen Masters umwandeln.
Wichtig: Verwenden Sie diese Vorgehensweise nur, um einen Open Directory-Master
durch seine Replik zu ersetzen. Wenn der Open Directory-Master weiter verwendet und
dessen Replik in einen weiteren Master umgewandelt werden soll, verwenden Sie diese
Schritte nicht. Deaktivieren Sie stattdessen die Replik und wandeln Sie sie in einen Master
um, wie in den folgenden Abschnitten beschrieben: „Deaktivieren einer Open DirectoryReplik“ auf Seite 229 und „Konfigurieren eines Open Directory-Masters“ auf Seite 95.
Gehen Sie wie folgt vor, um eine Open Directory-Replik umzuwandeln:
1 Öffnen Sie das Programm „Server-Admin“ stellen Sie eine Verbindung zu dem Replikserver her, den Sie in einen Master umwandeln möchten.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. 226 Kapitel 9 Pflegen von Open Directory-Diensten 5 Klicken Sie auf „Ändern“.
Damit wird der Konfigurationsassistent für Dienste geöffnet.
6 Wählen Sie „Open Directory-Master“ aus und klicken Sie auf „Fortfahren“.
7 Geben Sie die folgenden Informationen des Master-Domain-Administrators ein und
klicken Sie auf „Fortfahren“.
 Name, Kurzname, Benutzer-ID, Kennwort: Sie müssen einen Benutzer-Account für
den primären Administrator des LDAP-Verzeichnisses erstellen. Bei diesem Account
handelt es sich nicht um eine Kopie des Administrator-Accounts in der lokalen Verzeichnis-Domain des Servers. Wählen Sie für den LDAP-Verzeichnisadministrator
einen anderen Namen und eine andere Benutzer-ID als für die Benutzer-Accounts
in der lokalen Verzeichnis-Domain.
Hinweis: Wenn Sie Ihren Open Directory-Master mit anderen Verzeichnis-Domains
verbinden möchten, wählen Sie für jede Domain einen eindeutigen Namen und eine
eindeutige Benutzer-ID. Verwenden Sie nicht die vorgegebene Benutzer-ID diradmin.
Verwenden Sie einen Namen, der Aufschluss über die Verzeichnis-Domain gibt, die
der Verzeichnisadministrator steuert.
8 Geben Sie die folgenden Informationen der Master-Domain ein und klicken Sie
auf „Fortfahren“.
 Kerberos-Realm: Dieses Feld entspricht aufgrund der Voreinstellung dem DNSNamen des Servers in Großbuchstaben. Hierbei handelt es sich um die Konvention
bei der Benennung eines Kerberos-Realms. Sie können falls erforderlich einen anderen Namen eingeben.
 Suchbeginn: Dieses Feld ist auf ein Suchbeginn-Suffix für das neue LDAP-Verzeichnis eingestellt, das vom Domain-Teil des DNS-Namens des Servers abgeleitet wird.
Sie können ein anderes Suchbeginn-Suffix eingeben oder dieses Feld leer lassen.
Wenn Sie dieses Feld leer lassen, wird das standardmäßige Suchbeginn-Suffix des
LDAP-Verzeichnisses verwendet.
9 Bestätigen Sie die Einstellungen und klicken Sie dann auf „Schließen“.
Damit werden Ihre Einstellungen gesichert und der Dienst neu gestartet.
10 Stellen Sie im Programm „Server-Admin“ eine Verbindung zu einer anderen Replik des
früheren Masters her.
11 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
12 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
13 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. Kapitel 9 Pflegen von Open Directory-Diensten 227 14 Klicken Sie auf „Ändern“.
Der Konfigurationsassistent für Dienste wird geöffnet.
15 Wählen Sie „Eigenständiger Server“ und klicken Sie dann auf „Fortfahren“.
16 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie dann
auf „Fortfahren“.
17 Wenn Sie sicher sind, dass Benutzer und Dienste keinen Zugriff auf die Verzeichnisdaten mehr benötigen, die in der gemeinsam genutzten Domain gespeichert sind, die
der Server bereitgestellt hat oder mit der er verbunden war, klicken Sie auf „Schließen“.
Damit werden Ihre Einstellungen gesichert und der Dienst neu gestartet.
18 Klicken Sie auf „Ändern“.
Der Konfigurationsassistent für Dienste wird geöffnet.
19 Wählen Sie „Open Directory-Replik“ aus und klicken Sie auf „Fortfahren“.
20 Geben Sie die folgenden Informationen ein:
 IP-Adresse oder DNS des Open Directory-Masters: Geben Sie die IP-Adresse oder
den DNS-Namen des Servers ein, der als Open Directory-Master fungiert.
 „root“-Kennwort des Open Directory-Masters: Geben Sie das Kennwort des
root-Benutzers des Open Directory-Mastersystems ein (Benutzername des Systemadministrators).
 Domain-Administratorkurzname: Geben Sie den Namen eines AdministratorAccounts einer LDAP-Verzeichnis-Domain ein.
 Domain-Administratorkennwort: Geben Sie das Kennwort des AdministratorAccount ein, dessen Namen Sie angegeben haben.
21 Klicken Sie auf „Fortfahren“.
22 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie dann
auf „Fortfahren“.
23 Klicken Sie auf „Schließen“.
Damit werden Ihre Einstellungen gesichert und der Dienst neu gestartet.
24 Wiederholen Sie die Schritte 14 – 23 für jede Replik des früheren Masters.
25 Vergewissern Sie sich, dass Datum, Uhrzeit und Zeitzone auf den Repliken und dem
Master richtig sind.
Die Repliken und der Master sollten denselben Time-Server verwenden, sodass ihre
Systemuhren synchron bleiben.
Waren andere Computer mit dem LDAP-Verzeichnis des früheren Open DirectoryMasters verbunden, konfigurieren Sie deren Verbindungen erneut für die Verwendung des LDAP-Verzeichnisses des neuen Masters. 228 Kapitel 9 Pflegen von Open Directory-Diensten Jeder Mac OS X- und Mac OS X Server-Computer mit einem angepassten Suchpfad,
der das LDAP-Verzeichnis des alten Masters enthielt, muss für die Verbindung mit
dem LDAP-Verzeichnis des neuen Masters neu konfiguriert werden. Verwenden Sie
dazu die Bereiche „Dienste“ und „Identifizierung“ des Programms „Verzeichnisdienste“.
Weitere Informationen finden Sie in den Abschnitten „Löschen einer Konfiguration für
den Zugriff auf ein LDAP-Verzeichnis“ auf Seite 168 und „Konfigurieren des Zugriffs auf
ein LDAP-Verzeichnis“ auf Seite 158.
Wenn der DHCP-Dienst die LDAP-URL-Adresse des alten Masters Computern mit automatischen Suchpfaden bereitstellte, konfigurieren Sie den DHCP-Dienst für die Bereitstellung der LDAP-URL-Adresse des neuen Masters.
Mac OS X- und Mac OS X Server-Computer mit automatischen Suchpfaden erfordern
keine erneute Konfiguration. Sie erhalten die korrekte LDAP-URL-Adresse vom aktualisierten DHCP-Dienst, wenn sie das nächste Mal gestartet werden.
Weitere Informationen hierzu finden Sie im Kapitel zu DHCP des Handbuchs Netzwerkdienste – Administration. Deaktivieren einer Open Directory-Replik
Sie können einen Open Directory-Replikserver außer Betrieb nehmen, indem Sie ihn
in einen eigenständigen Server umwandeln oder für Verzeichnis- und Identifizierungsdienste mit einem anderen System verbinden.
Gehen Sie wie folgt vor, um eine Open Directory-Replik zu deaktivieren:
1 Überprüfen Sie, ob die Netzwerkverbindung zwischen dem Open Directory-Master und
der zu deaktivierenden Replik funktioniert.
Port 389 oder 636 muss zwischen Master und Replik geöffnet sein, während die Replik
deaktiviert wird. LDAP verwendet Port 389, wenn SSL deaktiviert ist, bzw. Port 636, wenn
SSL auf dem Master aktiviert ist. (Port 22, der für SSH verwendet wird, braucht nicht geöffnet zu sein, wenn eine Replik deaktiviert wird.)
Wichtig: Wenn Sie eine Replik deaktivieren, während keine Netzwerkverbindung zwischen der Replik und dem Master besteht, verbleibt die deaktivierte Replik in der Replikliste des Masters. Der Master versucht, so an die deaktivierte Replik zu replizieren, wie im
Bereich „Allgemein“ für den Open Directory-Dienst auf dem Master-Server angegeben.
2 Stellen Sie im Programm „Server-Admin“ eine Verbindung zu der zu deaktivierenden
Replik her.
3 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
4 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
5 Klicken Sie auf „Einstellungen“ und dann auf „Allgemein“. Kapitel 9 Pflegen von Open Directory-Diensten 229 6 Klicken Sie auf „Ändern“.
Der Konfigurationsassistent für Dienste wird geöffnet.
7 Wählen Sie „Eigenständiger Server“ oder „Verbunden mit einem Verzeichnissystem“
und geben Sie die folgenden Informationen ein.
 „root“-Kennwort des Open Directory-Masters: Geben Sie das Kennwort des
root-Benutzers des Open Directory-Mastersystems ein (Benutzername des Systemadministrators).
 Domain-Administratorkurzname: Geben Sie den Namen eines AdministratorAccounts einer LDAP-Verzeichnis-Domain ein.
 Domain-Administratorkennwort: Geben Sie das Kennwort des AdministratorAccount ein, dessen Namen Sie angegeben haben.
8 Klicken Sie auf „Fortfahren“.
9 Bestätigen Sie die Konfigurationseinstellung von Open Directory und klicken Sie dann
auf „Fortfahren“.
10 Wenn Sie sicher sind, dass Benutzer und Dienste keinen Zugriff auf die Verzeichnisdaten mehr benötigen, die in der gemeinsam genutzten Domain gespeichert sind, die
der Server bereitgestellt hat oder mit der er verbunden war, klicken Sie auf „Schließen“.
Damit werden Ihre Einstellungen gesichert und der Dienst wird neu gestartet.
Der Master wird so aktualisiert, dass er keine Verbindung zur Replik mehr herstellt,
vorausgesetzt, zwischen dem Open Directory-Master und der Replik besteht eine
Netzwerkverbindung.
11 Wenn Sie „Verbunden mit einem Verzeichnissystem“ aus dem Einblendmenü „Funktion“
ausgewählt haben, klicken Sie auf die Taste „Verzeichnisdienste öffnen“, um den Zugriff
auf eines oder mehrere Verzeichnissysteme zu konfigurieren.
Weitere Informationen zum Konfigurieren des Zugriffs auf einen Verzeichnisdienst finden
Sie in Kapitel 7 „Verwalten von Verzeichnis-Clients“. Archivieren eines Open Directory-Masters
Mithilfe des Programms „Server-Admin“ können Sie eine Kopie des Verzeichnisses eines
Open Directory-Masters und der Identifizierungsdaten archivieren. Sie können eine Kopie
dieser Daten archivieren, während der Open Directory-Master verwendet wird.
Die folgenden Dateien werden archiviert:
 LDAP-Verzeichnisdatenbank und -Konfigurationsdateien
 Datenbank des Open Directory-Kennwortservers
 Kerberos-Datenbank und -Konfigurationsdateien
 Lokale Verzeichnis-Domain und „Shadow“-Kennwortdatenbank 230 Kapitel 9 Pflegen von Open Directory-Diensten Wenn Sie ein verlässliches Archiv eines Open Directory-Masters besitzen, haben Sie
tatsächlich ein Archiv aller seiner Repliken. Tritt bei einer Replik ein Problem auf, können Sie deren Open Directory-Funktion in einen eigenständigen Server ändern und
den Server dann als neuen Server mit einem neuen Hostnamen konfigurieren und
als Replik desselben Masters wie zuvor definieren.
Wichtig: Schützen Sie die Archivmedien, die eine Kopie der Open Directory-Kennwortdatenbank, der Kerberos-Datenbank und der Kerberos-Datei „keytab“ enthalten. Das
Archiv enthält Kennwörter aller Benutzer, die über ein Open Directory-Kennwort verfügen, sowohl in der gemeinsam genutzten LDAP-Verzeichnis-Domain als auch in der
lokalen Verzeichnis-Domain. Ihre Sicherheitsvorkehrungen für die Archivmedien sollten ebenso umfassend sein wie für den Open Directory-Master-Server.
Gehen Sie wie folgt vor, um einen Open Directory-Master zu archivieren:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open
Directory-Master-Server her.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Archivieren“.
5 Geben Sie in das Feld „Archivieren in“ den Pfad zu dem Ordner ein, in dem die Open
Directory-Daten archiviert werden sollen, und klicken Sie dann auf die Taste „Archivieren“.
Sie können den Ordnerpfad eingeben oder auf „Wählen“ klicken, um ihn auszuwählen.
6 Geben Sie einen Namen und ein Kennwort ein, das zur Verschlüsselung des Archivs
verwendet werden soll, und klicken Sie auf „OK“. Wiederherstellen eines Open Directory-Masters
Mit dem Programm „Server-Admin“ oder dem Befehlszeilenprogramm slapconfig
können Sie die Verzeichnis- und Identifizierungsdaten eines Open Directory-Masters
aus dem Archiv wiederherstellen.
Wenn Sie das Programm „Server-Admin“ verwenden, können Sie die Daten auf einem
Server wiederherstellen, der als Open Directory-Master dient. Die folgenden Dateien
werden durch Mischen der Daten aus dem Archiv mit denen des existierenden Masters
wiederhergestellt:
 LDAP-Verzeichnisdatenbank und -Konfigurationsdateien
 Datenbank des Open Directory-Kennwortservers
 Kerberos-Datenbank und -Konfigurationsdateien Kapitel 9 Pflegen von Open Directory-Diensten 231 Wenn beim Zusammenführen Konflikte auftreten, haben die vorhandenen Datensätze
Vorrang vor den Datensätzen im Archiv. Der Archiveintrag wird ignoriert. Konflikte werden in der Protokolldatei (/Library/Logs/slapconfig.log) aufgezeichnet, die Sie mit dem
Programm „Server-Admin“ anzeigen können. Weitere diesbezügliche Informationen
finden Sie im Abschnitt „Anzeigen von Open Directory-Status und -Protokollen“ auf
Seite 210.
Wichtig: Wenn Sie ein Archiv eines Open Directory-Servers mit Mac OS X 10.4 haben,
können Sie es nur auf einem Mac OS X 10.5-Server wiederherstellen. Sie haben nicht
die Möglichkeit, ein Mac OS X 10.4-Archiv mit einem Open Directory-Server mit
Mac OS X 10.5 zusammenzuführen.
Anstatt einen Open Directory-Master aus einem Archiv wiederherzustellen, können Sie
auch eine Replik in einen Master umwandeln. Mit diesem Vorgehen erzielen Sie unter
Umständen bessere Ergebnisse. Die Replik verfügt in manchen Fällen über aktuellere
Verzeichnis- und Identifizierungsdaten als das Archiv.
Nach der Wiederherstellung eines Open Directory-Masters aus einem Archiv müssen
Sie Ihre Open Directory-Repliken neu erstellen.
Wichtig: Das Wiederherstellen eines Archivs sollte nicht dazu verwendet werden, Verzeichnis- und Identifizierungsdaten von einem System auf ein anderes zu portieren.
Exportieren Sie die Daten stattdessen aus dem Quellenverzeichnis und importieren
Sie sie in das Zielverzeichnis. Weitere Informationen zum Exportieren und Importieren von Verzeichnisdaten finden Sie im Handbuch Benutzerverwaltung.
Gehen Sie wie folgt vor, um ein Archiv mit einem vorhandenen Open DirectoryMaster zu mischen:
1 Öffnen Sie das Programm „Server-Admin“ und stellen Sie eine Verbindung zum Open
Directory-Master-Server her.
Der Zielserver muss denselben Kerberos-Realm-Namen besitzen wie der Master, aus
dem das Archiv erstellt wurde.
2 Klicken Sie auf das Dreiecksymbol links neben dem Server.
Daraufhin wird die Liste der Dienste angezeigt.
3 Wählen Sie „Open Directory“ in der Liste der Dienste aus.
4 Klicken Sie auf „Archivieren“. 232 Kapitel 9 Pflegen von Open Directory-Diensten 5 Geben Sie in das Feld „Wiederherstellen von“ den Pfad zur Open Directory-Archivdatei
ein und klicken Sie dann auf die Taste „Wiederherstellen“.
Sie können den Ordnerpfad eingeben oder auf „Wählen“ klicken, um die Archivdatei
auszuwählen.
6 Geben Sie das Kennwort ein, das beim Erstellen des Archivs für dessen Verschlüsselung
verwendet wurde, und klicken Sie auf „OK“.
7 Nachdem die Wiederherstellung abgeschlossen ist, überprüfen Sie das slapconfigProtokoll auf Informationen zu Konflikten oder anderen Ereignissen, die bei der Wiederherstellung auftraten.
8 Wandeln Sie vorhandene Open Directory-Replikserver in eigenständige Open DirectoryServer um und definieren Sie sie dann als Repliken des neuen Masters.
Weitere Informationen finden Sie in den Abschnitten „Konfigurieren eines eigenständigen Verzeichnisdiensts“ auf Seite 94 und „Konfigurieren einer Open Directory-Replik“
auf Seite 102.
Verwenden der Befehlszeile
Anstelle einer Wiederherstellung auf einem als Open Directory-Master dienenden
Server können Sie Daten auch auf einem eigenständigen Server wiederherstellen.
Hierzu verwenden Sie das Befehlszeilenprogramm slapconfig. Der Server wird als
Open Directory-Master mit den Daten für Verzeichnisse und Identifikationsüberprüfung aus dem Archiv eingerichtet.
Zu den wiederhergestellten Daten zählen die oben genannten LDAP-, Kerberos- und
Kennwortserverdateien sowie die lokale Verzeichnis-Domain und zugeordnete Kennwortdateien.
Außerdem behält slapconfig den lokalen Benutzer-Account bei, den Sie im Anmeldefenster verwendet haben. Nach der Wiederherstellung enthält der Master die
Datensätze der Benutzer-Accounts aus dem Archiv sowie des Accounts, den Sie im
Anmeldefenster verwendet haben.
Wenn das Archiv einen Benutzer-Account enthält, der in Konflikt mit dem Account
steht, den Sie im Anmeldefenster verwendet haben, wird der Account aus dem
Archiv ignoriert.
ACHTUNG: Wenn Sie einen eigenständigen Server wiederherstellen, werden die zuvor
vorhandenen Verzeichniseinträge und Identifizierungsdaten nicht beibehalten, mit
Ausnahme des im Anmeldefensters verwendeten Benutzer-Accounts. Kapitel 9 Pflegen von Open Directory-Diensten 233 Möchten Sie die Verzeichnis- und Identifizierungsdaten auf einem eigenständigen
Server mit Daten aus einem Open Directory-Archiv ersetzen, geben Sie den folgenden Befehl im Programm „Terminal“ ein und ersetzen Sie dabei archiv-pfad durch
den Pfad zur Archivdatei:
$ sudo slapconfig -restoredb archiv-pfad Für den Befehl slapconfig sind root-Zugriffsrechte erforderlich, daher wird in dieser
Befehlszeile der Befehl sudo verwendet. Weitere Informationen zum Befehl slapconfig
finden Sie auf der zugehörigen man-Seite. Weitere Informationen zum Befehl sudo und
zu root-Zugriffsrechten finden Sie im Handbuch Command-Line Administration. 234 Kapitel 9 Pflegen von Open Directory-Diensten 10 Fehlerbeseitigung 10 Dieses Kapitel bietet Lösungen für allgemeine Probleme, die
beim Arbeiten mit Open Directory auftreten können.
Dieser Abschnitt enthält Lösungen für allgemeine Probleme mit Open Directory. Fehlerbeseitigung bei Open Directory-Master und -Repliken
Verwenden Sie die folgenden Informationen, um Probleme mit dem Open DirectoryMaster bzw. mit einer Open Directory-Replik zu beheben. Kerberos ist auf einem Open Directory-Master oder einer
Replik gestoppt
Ein Open Directory-Master erfordert einen korrekt konfigurierten DNS-Dienst, damit
er die Kerberos-Gesamtauthentifizierung bereitstellen kann.
Gehen Sie wie folgt vor, um festzustellen, ob der DNS-Dienst für Kerberos korrekt
konfiguriert ist:
1 Stellen Sie sicher, dass der DNS-Dienst so konfiguriert ist, dass er vollständig qualifizierte
DNS-Namen auflöst und entsprechende RLU-Einträge (Reverse Lookup) bereitstellt.
Der DNS-Dienst muss vollständig qualifizierte DNS-Namen auflösen und die RLU-Auflösung für den Open Directory-Master-Server, für Replikserver und andere Server bereitstellen, die Mitglieder des Kerberos-Realms sind.
Wenn Sie einen DNS-Lookup für den DNS-Namen eines Servers und eine RLU-Auflösung
für die IP-Adresse eines Servers ausführen wollen, können Sie den Bereich „Lookup“ des
Netzwerkdienstprogramms verwenden (im Verzeichnis „/Programme/Dienstprogramme“).
Weitere Informationen zum Konfigurieren des DNS-Diensts finden Sie im Handbuch
Netzwerkdienste – Administration.
2 Vergewissern Sie sich, dass der Hostname des Open Directory-Master-Servers der korrekte vollständig qualifizierte DNS-Name ist und nicht der lokale Hostname des Servers.
Der Hostname darf beispielsweise „ods.example.com“ lauten, aber nicht „ods.local“. 235 Sie können den Hostnamen anzeigen, indem Sie das Programm „Terminal“ öffnen und
hostname eingeben.
Wenn der Hostname des Open Directory-Servers nicht der vollständig qualifizierte
DNS-Name ist, löschen Sie die Liste der DNS-Server vorübergehend und klicken Sie in
der Systemeinstellung „Netzwerk“ des Open Directory-Servers auf „Anwenden“. Geben
Sie dann die IP-Adresse mindestens eines DNS-Servers erneut ein, beginnend mit dem
primären DNS-Server, der den Namen des Open Directory-Servers auflöst, und klicken
Sie in der Systemeinstellung „Netzwerk“ auf „Anwenden“.
Ist der Hostname des Open Directory-Servers noch immer nicht der vollständig qualifizierte DNS-Name, starten Sie den Server neu.
3 Stellen Sie sicher, dass die Systemeinstellung „Netzwerk“ des Open DirectoryMaster-Servers für die Verwendung des DNS-Servers konfiguriert ist, der den
Servernamen auflöst.
Wenn der Open Directory-Master-Server seinen eigenen DNS-Dienst bereitstellt,
müssen die Netzwerkeinstellungen des Servers so konfiguriert sein, dass sie den
Server selbst als DNS-Server verwenden.
4 Prüfen Sie, ob die DNS-Konfiguration für den Server korrekt ist, und starten Sie dann
Kerberos.
Weitere Informationen finden Sie im Abschnitt „Starten von Kerberos nach der Konfiguration eines Open Directory-Masters“ auf Seite 114. Das Erstellen einer Open Directory-Replik ist nicht möglich
Wenn Sie versuchen, zwei Replikate gleichzeitig zu erstellen, wird der erste Replikationsversuch gelingen, der zweite schlägt dagegen fehl. Ein anschließender Versuch,
das zweite Replikat zu erzeugen, sollte dann wieder gelingen. Wenn Sie das zweite
Replikat weiterhin nicht erstellen können, öffnen Sie den Ordner „/var/run“, suchen
Sie die Datei „slapconfig.lock“ und löschen Sie sie gegebenenfalls. Alternativ führen
Sie einen Neustart des Servers aus. Das Erstellen eines Open Directory-Masters oder einer Replik aus einer
Konfigurationsdatei ist nicht möglich
Es ist nicht möglich, Mac OS X Server in einen Open Directory-Master oder eine Open
Directory-Replik zu verwandeln, indem Sie eine Eigenschaftslistendatei in den Bereich
„Einstellungen“ von Open Directory im Programm „Server-Admin“ bewegen. Befolgen
Sie stattdessen die Anleitungen in den Abschnitten „Konfigurieren eines Open DirectoryMasters“ auf Seite 95 oder „Konfigurieren einer Open Directory-Replik“ auf Seite 102.
Sie erstellen eine Eigenschaftslistendatei durch Bewegen des Miniaturfensters aus der
unteren rechten Ecke des Bereichs „Einstellungen“ im Programm „Server-Admin“. 236 Kapitel 10 Fehlerbeseitigung Eine Replik lässt sich nicht mit einem Relais verbinden
Vergewissern Sie sich, dass die Kapazität von 32 Repliken für Ihre Replik noch nicht ausgeschöpft ist. Stellen Sie außerdem sicher, dass Sie nicht zu einer Replik der zweiten Stufe
eine Verbindung herzustellen versuchen, sondern zu einem Relais der ersten Stufe. Das Hinzufügen einer Open Directory-Replik zu einem Open
Directory-Server, der einem Active Directory-Server untergeordnet
ist, ist nicht möglich
Vor dem Versuch, den Server in eine Replik des untergeordneten Open Directory-Servers
umzuwandeln, müssen Sie sicherstellen, dass Sie den Server zuerst mit demselben Active
Directory-Server verbinden wie den Open Directory-Master-Server, zu dem Sie eine Verbindung herstellen wollen. Ihre Repliken müssen Zugriff auf den Active Directory-Server
haben, damit Kerberos funktioniert. Beseitigen von Problemen mit Verzeichnisverbindungen
Probleme beim Zugriff auf Verzeichnisdienste beim Starten des Computers können
mehrere Ursachen haben. Beim Start kommt es zu Verzögerungen
Wenn es beim Starten von Mac OS X oder Mac OS X Server zu einer Verzögerung
kommt, während eine Nachricht zu LDAP- oder Verzeichnisdiensten über der Statusleiste angezeigt wird, dann versucht der Computer möglicherweise auf ein LDAPVerzeichnis zuzugreifen, das in Ihrem Netzwerk nicht verfügbar ist. Berücksichtigen
Sie die folgenden Aspekte:
 Es ist normal, dass es zu einer Verzögerung beim Starten des Computers kommt,
wenn ein Mobilcomputer nicht mit dem Netzwerk verbunden ist, mit dem der
LDAP-Server verbunden ist.
 Stellen Sie mithilfe des Programms „Verzeichnisdienste“ sicher, dass die VerzeichnisDomain-Konfiguration und die LDAP-Konfiguration korrekt sind.
 Verwenden Sie die Systemeinstellung „Netzwerk“, um sich zu vergewissern, dass die
Netzwerkumgebung des Computers und andere Netzwerkeinstellungen richtig konfiguriert sind.
 Überprüfen Sie die physische Netzwerkverbindung auf Fehler. Kapitel 10 Fehlerbeseitigung 237 Fehlerbeseitigung bei der Identifizierung
Verwenden Sie die folgenden Informationen, um Probleme bei der Identifizierung
zu lösen. Das Open Directory-Kennwort eines Benutzers lässt sich nicht ändern
Damit Sie das Kennwort eines Benutzers mit dem Kennworttyp „Open Directory“ ändern
können, müssen Sie Administrator der Verzeichnis-Domain sein, in der sich der Benutzereintrag befindet. Zusätzlich muss auch Ihr Benutzer-Account den Kennworttyp „Open
Directory“ aufweisen.
Der Benutzer-Account, der beim Konfigurieren des Open Directory-Masters definiert
wurde (mithilfe des Serverassistenten oder der Einstellungen für den Open DirectoryDienst im Programm „Server-Admin“), besitzt normalerweise ein Open Directory-Kennwort. Mithilfe dieses Accounts können Sie weitere Accounts als Verzeichnis-DomainAdministrator-Accounts mit Open Directory-Kennwörtern konfigurieren.
Wenn alle anderen Maßnahmen fehlschlagen, verwenden Sie den root-BenutzerAccount, um einen Benutzer-Account als Verzeichnisadministrator-Account mit einem
Open Directory-Kennwort zu konfigurieren. (Der Name des root-Benutzer-Accounts ist
„root“ und das Kennwort entspricht gewöhnlich dem Kennwort, das dem Administrator-Account während der Serverkonfiguration zugewiesen wurde.) Ein Benutzer kann auf bestimmte Dienste nicht zugreifen
Wenn ein Benutzer auf bestimmte Dienste zugreifen kann, die eine Identifizierung
erfordern, auf andere aber nicht, müssen Sie das Kennwort des Benutzers vorübergehend in eine einfache Zeichenfolge ändern, etwa „Kennwort“.
Lässt sich das Problem auf diese Weise lösen, enthielt das bisherige Kennwort des
Benutzers Zeichen, die nicht von allen Diensten erkannt werden konnten. Beispielsweise akzeptieren einige Dienste Leerzeichen innerhalb von Kennwörter, andere nicht. Ein Benutzer kann sich nicht für den VPN-Dienst identifizieren
Benutzer, deren Accounts auf einem Server mit Mac OS X Server 10.2 gespeichert sind,
können Sie nicht für einen VPN-Dienst identifizieren, der von Mac OS X Server 10.3 bis
10.5 bereitgestellt wird. Der VPN-Dienst erfordert die Identifizierungsmethode „MSCHAPv2“, die von Mac OS X Server 10.2 nicht unterstützt wird.
Damit betroffene Benutzer sich anmelden können, müssen Sie ihre Account auf einen
Server mit Mac OS X Server 10.3 bis 10.5 bewegen. Alternativ können Sie den alten
Server auf Mac OS X Server 10.5 (oder neuer) aktualisieren. 238 Kapitel 10 Fehlerbeseitigung Der Kennworttyp eines Benutzers kann nicht in „Open Directory“
geändert werden
Damit Sie den Kennworttyp eines Benutzers in „Open Directory“ ändern können,
müssen Sie Administrator der Verzeichnis-Domain sein, in der sich der Benutzereintrag befindet. Außerdem muss Ihr Benutzer-Account für die Open Directory-Identifizierung konfiguriert sein.
Der Benutzer-Account, der bei Konfigurieren des Open Directory-Masters definiert
wurde (mithilfe des Serverassistenten oder der Einstellungen für den Open DirectoryDienst im Programm „Server-Admin“), besitzt ein Open Directory-Kennwort. Mithilfe
dieses Accounts können Sie weitere Accounts als Verzeichnis-Domain-AdministratorAccounts mit Open Directory-Kennwörtern konfigurieren. Benutzer, die einen Kennwortserver verwenden, können sich
nicht anmelden
Wenn Ihr Netzwerk einen Server mit Mac OS X Server 10.2 enthält, kann der Server so
konfiguriert werden, dass er die Identifizierung von einem Open Directory-Kennwortserver abruft, der von einem anderen Server bereitgestellt wird.
Wird der Kennwortserver von Ihrem Netzwerk getrennt, weil beispielsweise das
Kabel vom Ethernetanschluss des Computers abgezogen wird, können Benutzer,
deren Kennwörter über den Kennwortserver geprüft werden, sich nicht anmelden,
weil die IP-Adresse nicht zugänglich ist.
Die Benutzer können sich wieder bei Mac OS X Server anmelden, wenn Sie den Kennwortserver erneut mit dem Netzwerk verbinden. Alternativ können sich Benutzer bei
einer Trennung vom Kennwortserver über Benutzer-Accounts anmelden, die den Kennworttyp „Crypt“ oder „Shadow“ aufweisen. Benutzer mit Accounts in einer freigegebenen Verzeichnis-Domain
können sich nicht anmelden
Benutzer mit Accounts in einer gemeinsam verwendeten Verzeichnis-Domain können
sich nicht anmelden, wenn kein Zugriff auf den Server möglich ist, der das Verzeichnis
bereitstellt. Der Zugriff auf einen Server kann z. B. aufgrund von Problemen mit dem
Netzwerk, der Serversoftware oder der Serverhardware unmöglich sein. Kapitel 10 Fehlerbeseitigung 239 Probleme mit der Serverhardware oder -software betreffen Benutzer, die versuchen,
sich bei Mac OS X-Computern oder bei der Windows-Domain eines Mac OS X ServerPDC anzumelden. Netzwerkprobleme wirken sich auf einige, aber nicht notwendigerweise alle Benutzer aus. Entscheidend ist, wo das Netzwerkproblem auftritt.
Benutzer mit mobilen Benutzer-Accounts können sich weiterhin an zuvor verwendeten Mac OS X-Computern anmelden. Benutzer, die von diesen Problemen betroffen
sind, können sich mithilfe eines auf dem Computer definierten lokalen BenutzerAccounts anmelden, wie z. B. des Benutzer-Accounts, der während der Konfiguration
nach der Mac OS X-Installation erstellt wurde. Das Anmelden als Active Directory-Benutzer ist nicht möglich
Wenn Sie eine Verbindung zu einer Active Directory-Domain im Bereich „Dienste“ des
Programms „Verzeichnisdienste“ konfiguriert und einem angepassten Suchpfad unter
„Suchpfad“ > „Identifizierung“ hinzugefügt haben, sollten Sie 10 bis 15 Sekunden warten, damit die Änderung wirksam wird. Sofortige Versuche einer Anmeldung mit einem
Active Directory-Account schlagen fehl. Benutzer können sich nicht mit der Kerberos-Identifizierung für die
Gesamtauthentifizierung identifizieren
Treten bei einem Benutzer oder einem Server, der mit Kerberos arbeitet, Probleme
beim Anmelden auf, sollten Sie folgendes Vorgehen ausprobieren:
 Die Kerberos-Identifizierung basiert auf verschlüsselten Zeitmarken. Wenn es einen
mehr als 5-minütigen Unterschied zwischen KDC-, Client- und Servercomputern gibt,
kann die Identifizierung fehlschlagen. Stellen Sie sicher, dass die Uhren aller Computer synchron sind, indem Sie den NTP-Dienst (Network Time Protocol) von Mac OS X
Server oder einen anderen Netzwerk-Zeitserver verwenden. Weitere Informationen
zum NTP-Dienst von Mac OS X Server finden Sie im Handbuch Netzwerkdienste –
Administration.
 Stellen Sie sicher, dass Kerberos auf dem Open Directory-Master und den Repliken
aktiv ist. Weitere Informationen finden Sie im Abschnitt „Kerberos ist auf einem
Open Directory-Master oder einer Replik gestoppt“ auf Seite 235.
 Steht ein für die Kennwortauswertung verwendeter Kerberos-Server nicht zur Verfügung, müssen Sie das Benutzerkennwort für die Verwendung mit einem verfügbaren
Server zurücksetzen.
 Stellen Sie sicher, dass der Server, der den kerberisierten Dienst bereitstellt, Zugriff
auf die Verzeichnis-Domain des Kerberos-Servers hat und dass diese VerzeichnisDomain die Accounts für Benutzer enthält, die sich über Kerberos zu identifizieren
versuchen. Weitere Informationen über das Konfigurieren des Zugriffs auf Verzeichnis-Domains finden Sie in Kapitel 7 „Verwalten von Verzeichnis-Clients“. 240 Kapitel 10 Fehlerbeseitigung  Stellen Sie für den Kerberos-Realm des Open Directory-Servers sicher, dass der ClientComputer dafür konfiguriert ist, mithilfe des korrekten Suchbeginnsuffixes auf das
LDAP-Verzeichnis des Open Directory-Servers zuzugreifen. Die Einstellung für das
LDAPv3-Suchbeginnsuffix des Clients muss mit der Einstellung für den Suchbeginn
des LDAP-Verzeichnisses übereinstimmen. Das LDAPv3-Suchbeginnsuffix kann leer
sein, wenn es seine LDAP-Zuordnungen vom Server erhält. In diesem Fall verwendet
der Client das standardmäßige Suchbeginnsuffix des LDAP-Verzeichnisses.
 Wenn Sie die Einstellung für das Suchbeginnsuffix des Clients überprüfen wollen,
öffnen Sie das Programm „Verzeichnisdienste“, zeigen die Liste der LDAPv3-Konfigurationen an und wählen das bereits markierte Objekt aus dem Einblendmenü
„LDAP-Pfade“ aus. Weitere Informationen hierzu finden Sie im Abschnitt „Ändern
einer Konfiguration für den Zugriff auf ein LDAP-Verzeichnis“ auf Seite 164.
 Wenn Sie die Einstellung für den Suchbereich des LDAP-Verzeichnisses überprüfen
wollen, öffnen Sie das Programm „Server-Admin“ und sehen Sie im Bereich „Protokolle“ im Dienst „Open Directory“ nach.
 Weitere Informationen, die Sie bei der Fehlerbeseitigung unterstützen können, finden
Sie im KDC-Protokoll. Weitere diesbezügliche Informationen finden Sie im Abschnitt
„Anzeigen von Open Directory-Status und -Protokollen“ auf Seite 210.
 Wenn Kerberos nicht aktiv war, als Benutzereinträge aus einer älteren Mac OS X-Version erstellt, importiert oder aktualisiert wurden, sind diese Einträge für die KerberosIdentifizierung möglicherweise nicht aktiviert:
 Ein Eintrag ist für Kerberos nicht aktiviert, wenn dem zugehörigen Attribut für
die Identifizierungsberechtigung der Wert „;Kerberosv5;“ fehlt. Im Fenster „Detailansicht“ im Arbeitsgruppenmanager können Sie die Werte des Attributs für die
Identifizierungsberechtigung für einen Benutzereintrag anzeigen. Weitere Informationen hierzu finden Sie im Abschnitt „Einblenden der Verzeichnisdetailansicht“ auf Seite 212.
 Sie können Kerberos für einen Benutzereintrag aktivieren, indem Sie den zugehörigen Kennworttyp ändern. Setzen Sie den Kennworttyp zuerst auf „Crypt-Kennwort“ und dann auf „Open Directory“. Weitere Informationen hierzu finden Sie in
den Abschnitten „Ändern des Kennworttyps in „Crypt“-Kennwort“ auf Seite 125
und „Ändern des Kennworttyps in „Open Directory““ auf Seite 123.
 Wenn sich Benutzer mithilfe der Kerberos-Gesamtauthentifizierung nicht für Dienste identifizieren können, die von einem Server bereitgestellt werden, der mit dem
Kerberos-Realm eines Open Directory-Masters verbunden ist, ist der Computereintrag des Servers im LDAP-Verzeichnis des Open Directory-Masters möglicherweise
falsch konfiguriert. Der Name des Servers im Computergruppen-Account muss der
vollständig qualifizierte DNS-Name des Servers sein, nicht nur der Hostname dieses
Servers. Zum Beispiel kann der Name „server2.example.com“ nicht einfach nur
„server2“ sein. Kapitel 10 Fehlerbeseitigung 241 Gehen Sie wie folgt vor, um den Computereintrag eines Servers erneut für die
Kerberos-Gesamtauthentifizierung zu konfigurieren:
1 Löschen Sie den Server aus dem Computergruppen-Account im LDAP-Verzeichnis.
Weitere Informationen zu diesem und dem nächsten Schritt finden Sie im Handbuch
Benutzerverwaltung.
2 Fügen Sie den Server der Computergruppe erneut hinzu.
3 Delegieren Sie erneut die Berechtigung zum Beitritt des Servers zum Kerberos-Realm
des Open Directory-Masters.
Weitere Informationen hierzu finden Sie im Abschnitt „Delegieren der Berechtigung
zum Hinzufügen eines Objekts zu einem Open Directory-Kerberos-Realm“ auf Seite 115.
4 Verbinden Sie den Server wieder mit dem Open Directory-Kerberos-Realm.
Weitere Informationen hierzu finden Sie im Abschnitt „Hinzufügen eines Servers zu
einem Kerberos-Realm“ auf Seite 118. Benutzer können ihre Kennwörter nicht ändern
Benutzer, deren Accounts sich in einem LDAP-Verzeichnis befinden, das nicht von
Mac OS X Server bereitgestellt wird, und deren Kennworttyp „Crypt“ lautet, können
ihre Kennwörter nicht ändern, nachdem sie sich über einen Client-Computer mit
Mac OS X 10.3 angemeldet haben.
Diese Benutzer dürfen ihr Kennwort ändern, wenn Sie im Bereich „Erweitert“ des
Arbeitsgruppenmanagers den Typ des Benutzerkennworts dieser Benutzer in „Open
Directory“ ändern.
Wenn Sie diese Änderung vornehmen, müssen Sie auch ein neues Kennwort angeben.
Weisen Sie die Benutzer an, sich mit diesem neuen Kennwort anzumelden und das
Kennwort in der Systemeinstellung „Benutzer“ zu ändern. Ein Server lässt sich einem Open Directory-Kerberos-Realm
nicht hinzufügen
Wenn ein Benutzer mit delegierten Kerberos-Rechten einem Server nicht mit dem
Kerberos-Realm eines Open Directory-Master beitreten kann, ist der Computereintrag
des Servers möglicherweise im LDAP-Verzeichnis des Open Directory-Master fehlerhaft konfiguriert.
Die Adresse des Servers im Computergruppen-Account muss die primäre Ethernetadresse des Servers sein. Die primäre Ethernetadresse ist die Ethernet-ID des ersten
Ethernetanschlusses in der Liste der Netzwerkanschlusskonfigurationen, die in der
Systemeinstellung „Netzwerk“ des Servers angezeigt wird. 242 Kapitel 10 Fehlerbeseitigung Gehen Sie wie folgt vor, um den Computereintrag eines Servers so zu konfigurieren,
dass der Server einem Kerberos-Realm beitritt:
1 Löschen Sie den Server aus dem Computergruppen-Account im LDAP-Verzeichnis.
Weitere Informationen zu diesem und dem nächsten Schritt finden Sie im Handbuch
Benutzerverwaltung.
2 Fügen Sie den Server der Computergruppe erneut hinzu.
3 Delegieren Sie erneut die Berechtigung zum Beitritt des Servers zum Kerberos-Realm
des Open Directory-Masters.
Überspringen Sie diesen Schritt, wenn Sie einen Kerberos-Administrator-Account
(LDAP-Verzeichnis-Administrator-Account) verwenden können, um den Server dem
Kerberos-Realm wieder hinzuzufügen.
Weitere Informationen hierzu finden Sie im Abschnitt „Delegieren der Berechtigung
zum Hinzufügen eines Objekts zu einem Open Directory-Kerberos-Realm“ auf Seite 115.
4 Verbinden Sie den Server wieder mit dem Open Directory-Kerberos-Realm.
Weitere Informationen hierzu finden Sie im Abschnitt „Hinzufügen eines Servers zu
einem Kerberos-Realm“ auf Seite 118. Sie müssen ein Administratorkennwort zurücksetzen
Mithilfe der Mac OS X Server-Installations-DVD können Sie das Kennwort eines Benutzer-Accounts mit Administratorrechten ändern, einschließlich des SystemadministratorAccounts (bzw. des root- oder Superuser-Accounts).
Wichtig: Da ein Benutzer mit der Installations-DVD unbegrenzt Zugriff auf Ihren Server
erhalten kann, sollten Sie den physischen Zugriff auf die Serverhardware und die Installations-DVD beschränken.
Gehen Sie wie folgt vor, um ein Administratorkennwort zurückzusetzen:
1 Starten Sie über die Mac OS X Server-Installations-DVD 1.
2 Wenn das Installationsprogramm angezeigt wird, wählen Sie „Installationsprogramm“ >
„Kennwörter zurücksetzen“.
3 Wählen Sie das Festplattenvolume aus, das den Administrator-Account enthält, dessen
Kennwort Sie zurücksetzen wollen.
4 Geben Sie über das Einblendmenü ein neues Kennwort ein, wählen Sie den Administrator-Account aus und klicken Sie auf „Sichern“.
Der Systemadministrator-Account ist der Account des root-Benutzers (Superuser).
Verwechseln Sie diesen Account nicht mit einem normalen Administrator-Account. Kapitel 10 Fehlerbeseitigung 243 Vermeiden Sie es, Kennwörter vordefinierter Benutzer-Accounts zu ändern. Weitere Informationen zu vordefinierten Benutzer-Accounts finden Sie im Handbuch
Benutzerverwaltung.
Hinweis: Mit diesem Vorgehen wird das Kennwort des Administrator-Accounts in der
lokalen Verzeichnis-Domain des Servers geändert. Das Kennwort eines AdministratorAccounts in der gemeinsam genutzten Verzeichnis-Domain des Servers (falls vorhanden) wird nicht geändert.
Wenn Sie das Kennwort eines Administrator-Accounts in der lokalen Domain kennen,
können Sie das Kennwort jedes anderen Administrator-Accounts in der lokalen Verzeichnis-Domain ändern. Dazu wählen Sie nicht dieses Vorgehen, sondern verwenden
den Arbeitsgruppenmanager. Weitere Informationen hierzu finden Sie im Abschnitt
„Ändern des Kennworts eines Benutzers“ auf Seite 121. 244 Kapitel 10 Fehlerbeseitigung Anhang Mac OS X-Verzeichnisdaten Die Kenntnis des Open Directory-LDAP-Schemas und der
Datensatztypen und Attribute in Mac OS X VerzeichnisDomains kann Ihnen helfen, Zuordnungen zu anderen
Verzeichnis-Domains vorzunehmen und Benutzer- und
Gruppen-Accounts zu importieren oder exportieren.
In diesem Anhang werden Open Directory-Erweiterungen des LDAP-Schemas, Zuordnungen von Open Directory-Attributen zu LDAP- und Active Directory-Attributen und
die Standardattribute in verschiedenen Datensatztypen aufgeführt. Verwenden Sie
diese Informationen für Folgendes:
 Zuordnen von Objektklassen und Attributen von nicht von Apple stammenden LDAPVerzeichnissen oder Active Directory-Domains zu Open Directory-Datensatztypen und
-attributen, wie im Abschnitt „Konfigurieren von LDAP-Suchen und -Zuordnungen“
auf Seite 172 beschrieben.
 Importieren oder Exportieren von Benutzer- oder Gruppen-Accounts an eine Open
Directory-Domain, wie im Handbuch Benutzerverwaltung beschrieben.
 Arbeiten in der Detailansicht des Arbeitsgruppenmanagers, wie im Abschnitt „Anzeigen und Bearbeiten von Verzeichnisdaten“ auf Seite 212 beschrieben.
Hinweis: Die folgenden Tabellen bieten keine vollständigen Informationen zum Erweitern Ihres Schemas. In den Tabellen werden die Datensätze und Attribute genannt, die
Open Directory aus vorhandenen Active Directory- und Unix RFC2307-Schemata verwendet. Außerdem werden die Attribute und Datensätze angegeben, die keine direkte
Zuordnung besitzen. 245 Ausführliche Informationen hierzu finden Sie in den Abschnitten
 „Open Directory-Erweiterungen des LDAP-Schemas“ auf Seite 246
 „Objektklassen im Open Directory-LDAP-Schema“ auf Seite 247
 „Attribute im Open Directory-LDAP-Schema“ auf Seite 256
 „Zuweisen von Standard-Datensatztypen und -Attributen zu LDAP und Active
Directory“ auf Seite 277
 „Zuordnungen für „Users““ auf Seite 278
 „Zuordnungen für „Groups““ auf Seite 282
 „Zuordnungen für „Mounts““ auf Seite 283
 „Zuordnungen für „Computers““ auf Seite 284
 „Zuordnungen für „ComputerLists““ auf Seite 285
 „Zuordnungen für „Config““ auf Seite 286
 „Zuordnungen für „People““ auf Seite 287
 „Zuordnungen für „PresetComputerLists““ auf Seite 289
 „Zuordnungen für „PresetGroups““ auf Seite 289
 „Zuordnungen für „PresetUsers““ auf Seite 290
 „Zuordnungen für „Printers““ auf Seite 292
 „Zuordnungen für „AutoServerSetup““ auf Seite 293
 „Zuordnungen für „Locations““ auf Seite 294
 „Standardmäßige Open Directory-Datensatztypen und -attribute“ auf Seite 294
 „Standardattribute in Benutzerdatensätzen“ auf Seite 295
 „Standardattribute in Gruppendatensätzen“ auf Seite 300
 „Standardattribute in Computerdatensätzen“ auf Seite 302
 „Standardattribute in Computergruppen-Datensätzen“ auf Seite 303
 „Standardattribute in Mount-Datensätzen“ auf Seite 303
 „Standardattribute in Config-Datensätzen“ auf Seite 304 Open Directory-Erweiterungen des LDAP-Schemas
Das Schema für die Open Directory-LDAP-Verzeichnisse basiert auf den De-factoStandardattributen und -Objektklassen, die in folgenden RFC-Dokumenten der IETF
(Internet Engineering Task Force) definiert sind:
 RFC 2307 „An Approach for Using LDAP as a Network Information Service“
 RFC 2798 „Definition of the inetOrgPerson LDAP Object Class“
LDAP-Schema-Definitionen legen Syntaxkennungen und übereinstimmende Regeln
fest, die in RFC 2252 unter „LDAPv3 Attributes“ definiert sind. 246 Anhang Mac OS X-Verzeichnisdaten Diese RFCs sind auf der IETF-Web-Site verfügbar: www.ietf.org/rfc.html.
Die Attribute und Objektklassen, die in diesen RFCs definiert sind, bilden die Basis des
Open Directory-LDAP-Schemas.
Das erweiterte Schema für Open Directory-LDAP-Verzeichnisse enthält die Attribute
und Objektklassen, die in folgenden Abschnitt definiert sind:
 „Objektklassen im Open Directory-LDAP-Schema“ auf Seite 247
 „Attribute im Open Directory-LDAP-Schema“ auf Seite 256
Hinweis: Apple kann das Open Directory-LDAP-Schema erweitern, beispielsweise um
zukünftige Versionen von Mac OS X und Mac OS X Server zu unterstützen. Das neuste
Schema ist in Textdateien auf einem Computer mit installiertem Mac OS X Server verfügbar. Die Schemadateien befinden sich im Verzeichnis „/etc/openldap/schema“. Die
Datei „apple.schema“ enthält die neusten Schemaerweiterungen für Open DirectoryLDAP-Verzeichnisse. Objektklassen im Open Directory-LDAP-Schema
In diesem Abschnitt werden die Open Directory-LDAP-Objektklassen definiert, um die
das Standard-LDAP-Schema erweitert wurde.
Strukturelle Objektklasse „container“
Die strukturelle Objektklasse „container“ wird für Datensatz-Container auf oberster
Ebene wie cn=users, cn=groups und cn=mounts verwendet. Es gibt analog zu dieser
Objektklasse keine Verzeichnisdienste, doch der Container-Name ist Teil des Suchbeginns für jeden Datensatztyp.
#objectclass (
# 1.2.840.113556.1.3.23
# NAME 'container'
# SUP top
# STRUCTURAL
# MUST ( cn ) ) Objektklasse „time-to-live“
objectclass (
1.3.6.1.4.1.250.3.18
NAME 'cacheObject'
AUXILIARY
SUP top
DESC 'Auxiliary object class to hold TTL caching information'
MAY ( Anhang ttl ) ) Mac OS X-Verzeichnisdaten 247 Objektklasse „user“
Die Objektklasse „apple-user“ wird zur Speicherung von Mac OS X-Attributen verwendet,
die nicht Teil von „inetOrgPerson“ oder „posixAccount“ sind. Diese Objektklasse wird bei
kDSStdRecordTypeUsers-Datensätzen verwendet.
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.1
NAME 'apple-user'
SUP top
AUXILIARY
DESC 'apple user account'
MAY ( apple-user-homeurl $ apple-user-class $
apple-user-homequota $ apple-user-mailattribute $
apple-user-printattribute $ apple-mcxflags $
apple-mcxsettings $ apple-user-adminlimits $
apple-user-picture $ apple-user-authenticationhint $
apple-user-homesoftquota $ apple-user-passwordpolicy $
apple-keyword $ apple-generateduid $ apple-imhandle $
apple-webloguri $ authAuthority $ acctFlags $ pwdLastSet $
logonTime $ logoffTime $ kickoffTime $ homeDrive $ scriptPath $
profilePath $ userWorkstations $ smbHome $ rid $
primaryGroupID $ sambaSID $ sambaPrimaryGroupSID $
userCertificate $ jpegPhoto $ apple-nickname $
apple-namesuffix $ apple-birthday $ apple-relationships $
apple-organizationinfo $ apple-phonecontacts $
apple-emailcontacts $ apple-postaladdresses $
apple-mapcoordinates $ apple-mapuri $ apple-mapguid $
apple-serviceslocator) ) Objektklasse „group“
Die Objektklasse „apple-group“ wird zur Speicherung von Mac OS X-Attributen
verwendet, die nicht Teil von „posixGroup“ sind. Diese Objektklasse wird bei
kDSStdRecordTypeGroups-Datensätzen verwendet.
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.14
NAME 'apple-group'
SUP top
AUXILIARY
DESC 'group account'
MAY ( apple-group-homeurl $
apple-group-homeowner $
apple-mcxflags $
apple-mcxsettings $
apple-group-realname $
apple-user-picture $
apple-keyword $
apple-generateduid $ 248 Anhang Mac OS X-Verzeichnisdaten apple-group-nestedgroup $
apple-group-memberguid $
mail $
rid $
sambaSID $
ttl $
jpegPhoto $
apple-group-services $
apple-contactguid $
apple-ownerguid $
labeledURI $
apple-serviceslocator) ) Objektklasse „machine“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.3
NAME 'apple-machine'
SUP top
AUXILIARY
MAY ( apple-machine-software $
apple-machine-hardware $
apple-machine-serves $
apple-machine-suffix $
apple-machine-contactperson ) ) Objektklasse „mount“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.8
NAME 'mount'
SUP top STRUCTURAL
MUST ( cn ) MAY ( mountDirectory $
mountType $
mountOption $
mountDumpFrequency $
mountPassNo ) ) Objektklasse „printer“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.9
NAME 'apple-printer'
SUP top STRUCTURAL
MUST ( cn ) MAY ( apple-printer-attributes $
apple-printer-lprhost $
apple-printer-lprqueue $
apple-printer-type $
apple-printer-note ) ) Anhang Mac OS X-Verzeichnisdaten 249 Objektklasse „computer“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.10
NAME 'apple-computer'
DESC 'computer'
SUP top STRUCTURAL
MUST ( cn ) MAY ( apple-realname $
description $
macAddress $
apple-category $
apple-computer-list-groups $
apple-keyword $
apple-mcxflags $
apple-mcxsettings $
apple-networkview $
apple-xmlplist $
apple-service-url $
apple-serviceinfo $
apple-primarycomputerlist $
authAuthority $
uidNumber $ gidNumber $ apple-generateduid $ ttl $
acctFlags $ pwdLastSet $ logonTime $
logoffTime $ kickoffTime $ rid $ primaryGroupID $
sambaSID $ sambaPrimaryGroupSID
owner $ apple-ownerguid $ apple-contactguid $
ipHostNumber $ bootFile) ) Objektklasse „computerlist“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.11
NAME 'apple-computer-list'
DESC 'computer list'
SUP top STRUCTURAL
MUST ( cn ) MAY ( apple-mcxflags $
apple-mcxsettings $
apple-computer-list-groups $
apple-computers $
apple-generateduid $
apple-keyword ) ) 250 Anhang Mac OS X-Verzeichnisdaten Objektklasse „configuration“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.12
NAME 'apple-configuration'
DESC 'configuration'
SUP top STRUCTURAL
MAY ( cn $ apple-config-realname $
apple-data-stamp $ apple-password-server-location $
apple-password-server-list $ apple-ldap-replica $
apple-ldap-writable-replica $ apple-keyword $
apple-kdc-authkey $ apple-kdc-configdata $ apple-xmlplist $
ttl ) ) Objektklasse „preset computer list“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.13
NAME 'apple-preset-computer-list'
DESC 'preset computer list'
SUP top STRUCTURAL
MUST ( cn ) MAY ( apple-mcxflags $
apple-mcxsettings $
apple-computer-list-groups $
apple-keyword ) ) Objektklasse „preset computer“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.25
NAME 'apple-preset-computer'
DESC 'preset computer'
SUP top STRUCTURAL
MUST ( cn ) MAY ( apple-mcxflags $
apple-mcxsettings $
apple-computer-list-groups $
apple-primarycomputerlist $
description $
apple-networkview $
apple-keyword ) ) Anhang Mac OS X-Verzeichnisdaten 251 Objektklasse „preset computer group“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.26
NAME 'apple-preset-computer-group'
DESC 'preset computer group'
SUP top STRUCTURAL
MUST ( cn ) MAY ( gidNumber $
memberUid $
apple-mcxflags $
apple-mcxsettings $
apple-group-nestedgroup $
description $
jpegPhoto $
apple-keyword ) ) Objektklasse „preset group“
objectclass (
1.3.6.1.4.1.63.1000.1.1.3.14
NAME 'apple-preset-group'
DESC 'preset group'
SUP top STRUCTURAL
MUST ( cn ) MAY ( memberUid $
gidNumber $
description $
apple-group-homeurl $
apple-group-homeowner $
apple-mcxflags $
apple-mcxsettings $
apple-group-realname $
apple-keyword $
apple-group-nestedgroup $
apple-group-memberguid $
ttl $
jpegPhoto $
apple-group-services $
labeledURI) )) ) 252 Anhang Mac OS X-Verzeichnisdaten Objektklasse „preset user“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.15
NAME 'apple-preset-user'
DESC 'preset user'
SUP top STRUCTURAL
MUST ( cn ) MAY ( uid $
memberUid $
gidNumber $
homeDirectory $
apple-user-homeurl $
apple-user-homequota $
apple-user-homesoftquota $
apple-user-mailattribute $
apple-user-printattribute $
apple-mcxflags $
apple-mcxsettings $
apple-user-adminlimits $
apple-user-passwordpolicy $
userPassword $
apple-user-picture $
apple-keyword $
loginShell $
description $
shadowLastChange $
shadowExpire $
authAuthority $
homeDrive $ scriptPath $ profilePath $ smbHome $
apple-preset-user-is-admin
jpegPhoto $
apple-relationships $ apple-phonecontacts $ apple-emailcontacts $
apple-postaladdresses $ apple-mapcoordinates ) ) Objektklasse „authentication authority“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.16
NAME 'authAuthorityObject'
SUP top STRUCTURAL
MAY ( Anhang authAuthority ) ) Mac OS X-Verzeichnisdaten 253 Objektklasse „server assistant configuration“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.17
NAME 'apple-serverassistant-config'
SUP top STRUCTURAL
MUST ( cn ) MAY ( apple-xmlplist ) ) Objektklasse „location“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.18
NAME 'apple-location'
SUP top AUXILIARY
MUST ( cn ) MAY ( apple-dns-domain $ apple-dns-nameserver ) ) Objektklasse „service“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.19
NAME 'apple-service'
SUP top STRUCTURAL
MUST ( cn $ MAY ( ipHostNumber $ apple-service-type )
description $
apple-service-location $
apple-service-url $
apple-service-port $
apple-dnsname $
apple-keyword ) ) Objektklasse „neighborhood“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.20
NAME 'apple-neighborhood'
SUP top STRUCTURAL
MUST ( cn ) MAY ( description $
apple-generateduid $
apple-category $
apple-nodepathxml $
apple-neighborhoodalias $
apple-computeralias $
apple-keyword $
apple-realname $
apple-xmlplist $
ttl ) ) 254 Anhang Mac OS X-Verzeichnisdaten Objektklasse „acl“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.21
NAME 'apple-acl'
SUP top STRUCTURAL
MUST ( cn $
apple-acl-entry ) ) Objektklasse „resource“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.23
NAME 'apple-resource'
SUP top STRUCTURAL
MUST ( cn ) MAY ( apple-realname $ description $ jpegPhoto $ apple-keyword $
apple-generateduid $ apple-contactguid $ apple-ownerguid $
apple-resource-info $ apple-resource-type $ apple-capacity $
labeledURI $ apple-mapuri $ apple-serviceslocator $ apple-phonecontacts $ c $ apple-mapguid $ apple-mapcoordinates ) ) Objektklasse „augment“
objectclass (
1.3.6.1.4.1.63.1000.1.1.2.24
NAME 'apple-augment'
SUP top
STRUCTURAL
MUST ( cn ) ) Objektlasse „automountMap“
objectclass (
1.3.6.1.1.1.2.16
NAME 'automountMap'
SUP top STRUCTURAL
MUST ( automountMapName ) MAY description ) Objektklasse „automount“
objectclass (
1.3.6.1.1.1.2.17
NAME 'automount'
SUP top STRUCTURAL
DESC 'Automount'
MUST ( automountKey $ automountInformation ) MAY description ) Anhang Mac OS X-Verzeichnisdaten 255 Attribute im Open Directory-LDAP-Schema
In diesem Abschnitt werden die Open Directory-LDAP-Attribute definiert, um die das
Standard-LDAP-Schema erweitert wurde.
„time-to-live“-Attribut
attributetype (
1.3.6.1.4.1.250.1.60
NAME 'ttl'
EQUALITY integerMatch
SYNTAX '1.3.6.1.4.1.1466.115.121.1.27' SINGLE-VALUE ) „user“-Attribute
apple-user-homeurl
Wird zum Speichern von Informationen zu Benutzerordnern in Form einer URL-Adresse
und eines Pfads verwendet. Wird dem Attributtyp „kDS1AttrHomeDirectory“ in den Verzeichnisdiensten zugeordnet.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.6
NAME 'apple-user-homeurl'
DESC 'home directory URL'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-class
Nicht verwendet.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.7
NAME 'apple-user-class'
DESC 'user class'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-homequota
Wird zum Festlegen des Kontingents des Benutzerordners in Kilobyte verwendet.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.8
NAME 'apple-user-homequota'
DESC 'home directory quota'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) 256 Anhang Mac OS X-Verzeichnisdaten apple-user-mailattribute
Speichert E-Mail-Einstellungen wie XML.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.9
NAME 'apple-user-mailattribute'
DESC 'mail attribute'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-mcxflags
Wird verwendet, um Informationen zu verwalteten Clients zu speichern. Dieses Attribut ist ggf. in Benutzer-, Benutzergruppen-, Computer- und Computergruppen-Einträgen enthalten.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.10
NAME 'apple-mcxflags'
DESC 'mcx flags'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-mcxsettings
Wird verwendet, um Informationen zu verwalteten Clients zu speichern. Dieses Attribut ist ggf. in Benutzer-, Benutzergruppen-, Computer- und Computergruppen-Einträgen enthalten.
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.1.11
# NAME 'apple-mcxsettings'
# DESC 'mcx settings'
# EQUALITY caseExactMatch
# SUBSTR caseExactSubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.16
NAME ( 'apple-mcxsettings' 'apple-mcxsettings2' )
DESC 'mcx settings'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Anhang Mac OS X-Verzeichnisdaten 257 apple-user-picture
Speichert einen Dateisystempfad für das Bild, das für diesen Benutzerdatensatz bei
der Anzeige im Anmeldefenster verwendet werden soll. Dieses Attribut wird verwendet, wenn der Netzwerkbenutzer in der Liste im Anmeldefentster aufgeführt wird
(in verwalteten Netzwerken).
Benutzer können ihre Bilder standardmäßig ändern.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.12
NAME 'apple-user-picture'
DESC 'picture'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-printattribute
Speichert Druckerzuteilungseinstellungen als XML plist.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.13
NAME 'apple-user-printattribute'
DESC 'print attribute'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-adminlimits
Wird vom Arbeitsgruppenmanager zum Speichern einer XML-Plist-Datei verwendet, in
der die Rechte und Möglichkeiten eines Administrators beschrieben werden. Diese Einstellungen werden vom Arbeitsgruppenmanager berücksichtigt und aktualisiert, haben
aber keinen Einfluss auf andere Bereiche des Systems.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.14
NAME 'apple-user-adminlimits'
DESC 'admin limits'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) 258 Anhang Mac OS X-Verzeichnisdaten apple-user-authenticationhint
Wird vom Anmeldefenster verwendet, um einen Hinweis anzuzeigen, wenn sich der
Benutzer drei Mal mit falschen Daten anmeldet. Die Benutzer können ihre Identifizierungshinweise standardmäßig aktualisieren.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.15
NAME 'apple-user-authenticationhint'
DESC 'password hint'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-homesoftquota
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.17
NAME 'apple-user-homesoftquota'
DESC 'home directory soft quota'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-passwordpolicy
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.18
NAME 'apple-user-passwordpolicy'
DESC 'password policy options'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-keyword
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.19
NAME ( 'apple-keyword' )
DESC 'keywords'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Anhang Mac OS X-Verzeichnisdaten 259 apple-generateduid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.20
NAME ( 'apple-generateduid' )
DESC 'generated unique ID'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-imhandle
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.21
NAME ( 'apple-imhandle' )
DESC 'IM handle (service:account name)'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-webloguri
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.22
NAME ( 'apple-webloguri' )
DESC 'Weblog URI'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-mapcoordinates
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.23
NAME ( 'apple-mapcoordinates' )
DESC 'Map Coordinates'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-postaladdresses
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.24
NAME ( 'apple-postaladdresses' )
DESC 'Postal Addresses'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) 260 Anhang Mac OS X-Verzeichnisdaten apple-phonecontacts
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.25
NAME ( 'apple-phonecontacts' )
DESC 'Phone Contacts'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-emailcontacts
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.26
NAME ( 'apple-emailcontacts' )
DESC 'EMail Contacts'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-birthday
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.27
NAME ( 'apple-birthday' )
DESC 'Birthday'
EQUALITY generalizedTimeMatch
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.24 SINGLE-VALUE ) apple-relationships
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.28
NAME ( 'apple-relationships' )
DESC 'Relationships'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-company
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.29
NAME ( 'apple-company' )
DESC 'company'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Anhang Mac OS X-Verzeichnisdaten 261 apple-nickname
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.30
NAME ( 'apple-nickname' )
DESC 'nickname'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-mapuri
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.31
NAME ( 'apple-mapuri' )
DESC 'Map URI'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-mapguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.32
NAME ( 'apple-mapguid' )
DESC 'map GUID'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-serviceslocator
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.33
NAME ( 'apple-serviceslocator' )
DESC 'Calendar Principal URI'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-organizationinfo
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.34
NAME 'apple-organizationinfo'
DESC 'Originization Info data'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 262 Anhang Mac OS X-Verzeichnisdaten apple-namesuffix
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.35
NAME ( 'apple-namesuffix' )
DESC 'namesuffix'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-primarycomputerlist
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.1.36
NAME ( 'apple-primarycomputerlist' )
DESC 'primary computer list'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-homeDirectory
Wird nicht vom Open Directory-Server verwendet, aber als Beispiel-OID und -Attribut
als Alternative zum Attribut „homeDirectory“ für RFC 2307 bereitgestellt. Das ist in
erster Linie für Active Directory-Administratoren interessant, da Active Directory ein
anderes Attribut „homeDirectory“ verwendet als RFC 2307.
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.1.100
# NAME 'apple-user-homeDirectory'
# DESC 'The absolute path to the home directory'
# EQUALITY caseExactIA5Match
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) „group“-Attribute
apple-group-homeurl
Gibt den einer verwalteten Client-Arbeitsgruppe zugeordneten Benutzerordner an.
Dieser wird bei der Anmeldung von einem beliebigen Benutzer in dieser Arbeitsgruppe aktiviert.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.1
NAME 'apple-group-homeurl'
DESC 'group home url'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) Anhang Mac OS X-Verzeichnisdaten 263 apple-group-homeowner
Bestimmt den Eigentümer des Benutzerordners der Arbeitsgruppe bei dessen Erstellung
im Dateisystem. Die Gruppe des Ordners ist die Arbeitsgruppe, der er zugeordnet ist.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.2
NAME 'apple-group-homeowner'
DESC 'group home owner settings'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-group-realname
Wird zum Zuordnen eines längeren, benutzerfreundlicheren Namens zu Gruppen verwendet. Dieser Name wird im Arbeitsgruppenmanager angezeigt und kann Nicht-ASCIIZeichen enthalten.
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.5
NAME 'apple-group-realname'
DESC 'group real name'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-group-nestedgroup
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.6
NAME 'apple-group-nestedgroup'
DESC 'group real name'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-group-memberguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.7
NAME 'apple-group-memberguid'
DESC 'group real name'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 264 Anhang Mac OS X-Verzeichnisdaten apple-group-services
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.8
NAME 'apple-group-services'
DESC 'group services'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-group-memberUid
Wird nicht von einem Open Directory-Server verwendet, aber ist als Beispielattribut
und -OID definiert, das bzw. die einem anderen LDAP-Server zur Unterstützung von
Mac OS X-Clients hinzugefügt werden könnte.
# Alternative to using memberUid from RFC 2307.
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.14.1000
# NAME 'apple-group-memberUid'
# DESC 'group member list'
# EQUALITY caseExactIA5Match
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
# can also use OID 1.3.6.1.4.1.63.1000.1.1.2.1000 apple-contactguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.9
NAME ( 'apple-contactguid' )
DESC 'contact GUID'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-ownerguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.10
NAME ( 'apple-ownerguid' )
DESC 'owner GUID'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Anhang Mac OS X-Verzeichnisdaten 265 apple-primarycomputerguid
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.11
NAME ( 'apple-primarycomputerguid' )
DESC 'primary computer GUID'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-group-expandednestedgroup
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.14.12
NAME 'apple-group-expandednestedgroup'
DESC 'expanded nested group list'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „machine“-Attribute
apple-machine-software
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.3.8
NAME 'apple-machine-software'
DESC 'installed system software'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-hardware
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.3.9
NAME 'apple-machine-hardware'
DESC 'system hardware description'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-serves
attributeType (
1.3.6.1.4.1.63.1000.1.1.1.3.10
NAME 'apple-machine-serves'
DESC 'NetInfo Domain Server Binding'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) 266 Anhang Mac OS X-Verzeichnisdaten apple-machine-suffix
attributeType (
1.3.6.1.4.1.63.1000.1.1.1.3.11
NAME 'apple-machine-suffix'
DESC 'DIT suffix'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-machine-contactperson
attributeType (
1.3.6.1.4.1.63.1000.1.1.1.3.12
NAME 'apple-machine-contactperson'
DESC 'Name of contact person/owner of this machine'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) attributeTypesConfig
attributeType (
1.3.6.1.4.1.63.1000.1.1.1.22.1
NAME 'attributeTypesConfig'
DESC 'RFC2252: attribute types'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) objectClassesConfig
attributeType (
1.3.6.1.4.1.63.1000.1.1.1.22.2
NAME 'objectClassesConfig'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „mount“-Attribute
mountDirectory
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.1
NAME 'mountDirectory'
DESC 'mount path'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Anhang Mac OS X-Verzeichnisdaten 267 mountType
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.2
NAME 'mountType'
DESC 'mount VFS type'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) mountOption
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.3
NAME 'mountOption'
DESC 'mount options'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) mountDumpFrequency
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.4
NAME 'mountDumpFrequency'
DESC 'mount dump frequency'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) mountPassNo
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.8.5
NAME 'mountPassNo'
DESC 'mount passno'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-mount-name
# Alternative zur Verwendung von 'cn' beim Hinzufügen des Mount-Datensatzschemas zu anderen LDAP-Servern
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.8.100
# NAME ( 'apple-mount-name' )
# DESC 'mount name'
# SUP name ) 268 Anhang Mac OS X-Verzeichnisdaten „printer“-Attribute
apple-printer-attributes
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.1
NAME 'apple-printer-attributes'
DESC 'printer attributes in /etc/printcap format'
EQUALITY caseIgnoreIA5Match
SUBSTR caseIgnoreIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-printer-lprhost
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.2
NAME 'apple-printer-lprhost'
DESC 'printer LPR host name'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-lprqueue
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.3
NAME 'apple-printer-lprqueue'
DESC 'printer LPR queue'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-type
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.4
NAME 'apple-printer-type'
DESC 'printer type'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-note
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.9.5
NAME 'apple-printer-note'
DESC 'printer note'
EQUALITY caseIgnoreMatch
SUBSTR caseIgnoreSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Anhang Mac OS X-Verzeichnisdaten 269 „computer“-Attribute
apple-realname
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.10.2
NAME 'apple-realname'
DESC 'real name'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-networkview
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.10.3
NAME 'apple-networkview'
DESC 'Network view for the computer'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-category
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.10.4
NAME 'apple-category'
DESC 'Category for the computer or neighborhood'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „computerlist“-Attribute
apple-computers
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.11.3
NAME 'apple-computers'
DESC 'computers'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-computer-list-groups
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.11.4
NAME 'apple-computer-list-groups'
DESC 'groups'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 270 Anhang Mac OS X-Verzeichnisdaten „xmlplist“-Attribut
apple-xmlplist
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.17.1
NAME 'apple-xmlplist'
DESC 'XML plist data'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) „service-url“-Attribut
apple-service-url
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.2
NAME 'apple-service-url'
DESC 'URL of service'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) „serviceinfo“-Attribut
apple-serviceinfo
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.6
NAME 'apple-serviceinfo'
DESC 'service related information'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „configuration“-Attribute
apple-password-server-location
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.1
NAME 'apple-password-server-location'
DESC 'password server location'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) Anhang Mac OS X-Verzeichnisdaten 271 apple-data-stamp
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.2
NAME 'apple-data-stamp'
DESC 'data stamp'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-config-realname
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.3
NAME 'apple-config-realname'
DESC 'config real name'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-password-server-list
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.4
NAME 'apple-password-server-list'
DESC 'password server replication plist'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-ldap-replica
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.5
NAME 'apple-ldap-replica'
DESC 'LDAP replication list'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-ldap-writable-replica
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.6
NAME 'apple-ldap-writable-replica'
DESC 'LDAP writable replication list'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) 272 Anhang Mac OS X-Verzeichnisdaten apple-kdc-authkey
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.7
NAME 'apple-kdc-authkey'
DESC 'KDC master key RSA encrypted with realm public key'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-kdc-configdata
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.12.8
NAME 'apple-kdc-configdata'
DESC 'Contents of the kdc.conf file'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) „presetUser“-Attribut
apple-preset-user-is-admin
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.15.1
NAME 'apple-preset-user-is-admin'
DESC 'flag indicating whether the preset user is an administrator'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) „authentication authority“-Attribute
authAuthority
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.2.16.1
# NAME 'authAuthority'
# DESC 'password server authentication authority'
# EQUALITY caseExactIA5Match
# SUBSTR caseExactIA5SubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) authAuthority2
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.2.16.2
# NAME ( 'authAuthority' 'authAuthority2' )
# DESC 'password server authentication authority'
# EQUALITY caseExactMatch
# SUBSTR caseExactSubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Anhang Mac OS X-Verzeichnisdaten 273 „location“-Attribute
apple-dns-domain
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.18.1
NAME 'apple-dns-domain'
DESC 'DNS domain'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-dns-nameserver
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.18.2
NAME 'apple-dns-nameserver'
DESC 'DNS name server list'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „service“-Attribute
apple-service-type
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.1
NAME 'apple-service-type'
DESC 'type of service'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-service-url
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.19.2
# NAME 'apple-service-url'
# DESC 'URL of service'
# EQUALITY caseExactIA5Match
# SUBSTR caseExactIA5SubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-service-port
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.3
NAME 'apple-service-port'
DESC 'Service port number'
EQUALITY integerMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 ) 274 Anhang Mac OS X-Verzeichnisdaten apple-dnsname
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.4
NAME 'apple-dnsname'
DESC 'DNS name'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-service-location
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.19.5
NAME 'apple-service-location'
DESC 'Service location'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „neighborhood“-Attribute
apple-nodepathxml
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.20.1
NAME 'apple-nodepathxml'
DESC 'XML plist of directory node path'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-neighborhoodalias
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.20.2
NAME 'apple-neighborhoodalias'
DESC 'XML plist referring to another neighborhood record'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-computeralias
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.20.3
NAME 'apple-computeralias'
DESC 'XML plist referring to a computer record'
EQUALITY caseExactMatch
SUBSTR caseExactSubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Anhang Mac OS X-Verzeichnisdaten 275 „acl“-Attribut
apple-acl-entry
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.21.1
# NAME 'apple-acl-entry'
# DESC 'acl entry'
# EQUALITY caseExactMatch
# SUBSTR caseExactSubstringsMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) „schema“-Attribute
attributeTypesConfig
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.22.1
# NAME 'attributeTypesConfig'
# DESC 'attribute type configuration'
# EQUALITY objectIdentifierFirstComponentMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.3 ) objectClassesConfig
#attributetype (
# 1.3.6.1.4.1.63.1000.1.1.1.22.2
# NAME 'objectClassesConfig'
# DESC 'object class configuration'
# EQUALITY objectIdentifierFirstComponentMatch
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.37 ) „resource“-Attribute
apple-resource-type
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.23.1
NAME 'apple-resource-type'
DESC 'resource type'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-resource-info
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.23.2
NAME 'apple-resource-info'
DESC 'resource info'
EQUALITY caseExactIA5Match
SUBSTR caseExactIA5SubstringsMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) 276 Anhang Mac OS X-Verzeichnisdaten apple-capacity
attributetype (
1.3.6.1.4.1.63.1000.1.1.1.23.3
NAME 'apple-capacity'
DESC 'capacity'
EQUALITY integerMatch
SYNTAX '1.3.6.1.4.1.1466.115.121.1.27' SINGLE-VALUE ) „automount“-Attribute
automountMapName
attributetype (
1.3.6.1.1.1.1.31
NAME 'automountMapName'
DESC 'automount Map Name'
EQUALITY caseExactMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE-VALUE ) automountKey
attributetype (
1.3.6.1.1.1.1.32
NAME 'automountKey'
DESC 'Automount Key value'
EQUALITY caseExactMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE-VALUE ) automountInformation
attributetype (
1.3.6.1.1.1.1.33
NAME 'automountInformation'
DESC 'Automount information'
EQUALITY caseExactMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE-VALUE ) Zuweisen von Standard-Datensatztypen und -Attributen zu
LDAP und Active Directory
In diesem Abschnitt wird erläutert, wie Open Directory-Datensatztypen und -attribute
LDAP-Objektklassen und Attributen zugewiesen werden. Außerdem erfahren Sie hier,
wie einige Active Directory-Objektkategorien und -attribute Open Directory-Datensatztypen und -attributen zugewiesen und daraus generiert werden. Anhang Mac OS X-Verzeichnisdaten 277 Die folgenden Tabellen enthalten keine Zuordnungen zum Erweitern Ihres Schemas. In
den Tabellen werden jeweils die Datensätze und Attribute genannt, die Open Directory
aus vorhandenen Active Directory- und Unix RFC2307-Schemata verwendet. Außerdem werden die Attribute und Datensätze angegeben, die keine direkten Zuordnungen besitzen. Zuordnungen für „Users“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „Users“ und die zugehörigen
Attribute den LDAP-Objektklassen und -attributen zuordnet.
Die Tabellen enthalten auch Informationen dazu, wie das Active Directory-Plug-In
im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute
zuordnet und aus Open Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „Users“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In Users,
RFC 2798 inetOrgPerson
2.16.840.1.113730.3.2.2 ObjectCategory = Person Users,
RFC 2307 posixAccount
1.3.6.1.1.1.2.0 Users,
RFC 2307 shadowAccount
1.3.6.1.1.1.2.1 Users,
von Apple registriert apple-user
1.3.6.1.4.1.63.1000.1.1.2.1 Erweitertes Apple-Schema Attributzuordnungen für „Users“ 278 Open Directory-Name,
RFC/Klasse
spezieller Zweck LDAP-Attributname
OID Active DirectoryPlug-In HomeDirectory,
von Apple registriert apple-user-homeurl
1.3.6.1.4.1.63.1000.1.1.1.1.6 Generiert aus homeDirectory HomeDirectoryQuota,
von Apple registriert apple-user-homequota
1.3.6.1.4.1.63.1000.1.1.1.1.8 Erweitertes Apple-Schema HomeDirectorySoftQuota,
von Apple registriert apple-user-homesoftquota
1.3.6.1.4.1.63.1000.1.1.1.1.17 Erweitertes Apple-Schema MailAttribute,
von Apple registriert apple-user-mailattribute
1.3.6.1.4.1.63.1000.1.1.1.1.9 Erweitertes Apple-Schema PrintServiceUserData,
von Apple registriert apple-user-printattribute
1.3.6.1.4.1.63.1000.1.1.1.1.13 Erweitertes Apple-Schema MCXFlags,
von Apple registriert apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten Open Directory-Name,
RFC/Klasse
spezieller Zweck LDAP-Attributname
OID Active DirectoryPlug-In MCXSettings,
von Apple registriert apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema AdminLimits,
von Apple registriert apple-user-adminlimits
1.3.6.1.4.1.63.1000.1.1.1.1.14 Erweitertes Apple-Schema AuthenticationAuthority,
von Apple registriert authAuthority
1.3.6.1.4.1.63.1000.1.1.2.16.1 Als Kerberos-Berechtigung
generiert AuthenticationHint,
von Apple registriert apple-user-authenticationhint
1.3.6.1.4.1.63.1000.1.1.1.1.15 Erweitertes Apple-Schema PasswordPolicyOptions,
von Apple registriert apple-user-passwordpolicy
1.3.6.1.4.1.63.1000.1.1.1.1.18 Erweitertes Apple-Schema Keywords,
von Apple registriert apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema Picture,
von Apple registriert apple-user-picture
1.3.6.1.4.1.63.1000.1.1.1.1.12 Erweitertes Apple-Schema GeneratedUID,
von Apple registriert apple-generateduid
1.3.6.1.4.1.63.1000.1.1.1.1.20 Aus GUID – formatiert RecordName,
RFC 2256 cn
2.5.4.3 Generiert aus cn, userPrincipal,
mail, sAMAccountName RecordName,
RFC 1274 uid
0.9.2342.19200300.100.1.1 n. v. EMailAddress,
RFC 1274 mail
0.9.2342.19200300.100.1.3 RFC-Standard RealName,
RFC 2256 cn
2.5.4.3 1.2.840.113556.1.2.13 (Microsoft) Password,
RFC 2256 userPassword
2.5.4.35 Keine Zuordnung Comment,
RFC 2256 description
2.5.4.13 RFC-Standard LastName,
RFC 2256 sn
2.5.4.4 RFC-Standard FirstName,
RFC 2256 givenName
2.5.4.42 RFC-Standard PhoneNumber,
RFC 2256 telephoneNumber
2.5.4.20 RFC-Standard AddressLIne1,
RFC 2256 street
2.5.4.9 RFC-Standard PostalAddress,
RFC 2256 postalAddress
2.5.4.16 RFC-Standard PostalCode,
RFC 2256 postalCode
2.5.4.17 RFC-Standard Anhang Mac OS X-Verzeichnisdaten 279 280 Open Directory-Name,
RFC/Klasse
spezieller Zweck LDAP-Attributname
OID Active DirectoryPlug-In OrganizationName,
RFC 2256 o
2.5.4.10 1.2.840.113556.1.2.146 (Microsoft) UserShell,
RFC 2307 loginShell
1.3.6.1.1.1.1.4 Mit RFC erweitert Change,
RFC 2307 shadowLastChange
1.3.6.1.1.1.1.5 Keine Zuordnung Expire,
RFC 2307 shadowExpire
1.3.6.1.1.1.1.10 Keine Zuordnung UniqueID,
RFC 2307 uidNumber
1.3.6.1.1.1.1.0 Generiert aus GUID NFSHomeDirectory,
RFC 2307 homeDirectory
1.3.6.1.1.1.1.3 Generiert aus homeDirectory PrimaryGroupID,
RFC 2307 gidNumber
1.3.6.1.1.1.1.1 Mit RFC erweitert oder aus
GUID generiert SMBAccountFlags,
von Samba registriert,
Apple PDC acctFlags
1.3.6.1.4.1.7165.2.1.4 1.2.840.113556.1.4.302 (Microsoft) SMBPasswordLastSet,
von Samba registriert,
Apple PDC pwdLastSet
1.3.6.1.4.1.7165.2.1.3 1.2.840.113556.1.4.96 (Microsoft) SMBLogonTime,
von Samba registriert,
Apple PDC logonTime
1.3.6.1.4.1.7165.2.1.5 1.2.840.113556.1.4.52 (Microsoft) SMBLogoffTime,
von Samba registriert,
Apple PDC logoffTime
1.3.6.1.4.1.7165.2.1.6 1.2.840.113556.1.4.51 (Microsoft) SMBKickoffTime,
von Samba registriert,
Apple PDC kickoffTime
1.3.6.1.4.1.7165.2.1.7 Keine Zuordnung SMBHomeDrive,
von Samba registriert,
Apple PDC homeDrive
1.3.6.1.4.1.7165.2.1.10 1.2.840.113556.1.4.45 (Microsoft) SMBScriptPath,
von Samba registriert,
Apple PDC scriptPath
1.3.6.1.4.1.7165.2.1.11 1.2.840.113556.1.4.62 (Microsoft) SMBProfilePath,
von Samba registriert,
Apple PDC profilePath
1.3.6.1.4.1.7165.2.1.12 1.2.840.113556.1.4.139 (Microsoft) SMBUserWorkstations,
von Samba registriert,
Apple PDC userWorkstations
1.3.6.1.4.1.7165.2.1.13 1.2.840.113556.1.4.86 (Microsoft) Anhang Mac OS X-Verzeichnisdaten Open Directory-Name,
RFC/Klasse
spezieller Zweck LDAP-Attributname
OID Active DirectoryPlug-In SMBHome,
von Samba registriert,
Apple PDC smbHome
1.3.6.1.4.1.7165.2.1.17 1.2.840.113556.1.4.44 (Microsoft) SMBRID,
von Samba registriert,
Apple PDC rid
1.3.6.1.4.1.7165.2.1.14 1.2.840.113556.1.4.153 (Microsoft) SMBGroupRID,
von Samba registriert,
Apple PDC primaryGroupID
1.3.6.1.4.1.7165.2.1.15 1.2.840.113556.1.4.98 (Microsoft) FaxNumber,
RFC 2256 fax
2.5.4.23 RFC-Standard MobileNumber,
RFC 1274 mobile
0.9.2342.19200300.100.1.41 RFC-Standard PagerNumber,
RFC 1274 pager
0.9.2342.19200300.100.1.42 RFC-Standard Department,
RFC 2798, departmentNumber
2.16.840.1.113730.3.1.2 1.2.840.113556.1.2.141 (Microsoft) NickName,
Microsoft Attribute 1.2.840.113556.1.2.447 (Microsoft) JobTitle,
RFC 2256 title
2.5.4.12 RFC-Standard Building,
RFC 2256 buildingName
2.5.4.19 RFC-Standard Country,
RFC 2256 c
2.5.4.6 RFC-Standard Street,
RFC 2256 street
2.5.4.9 1.2.840.113556.1.2.256 (Microsoft) City,
RFC 2256 locality
2.5.4.7 RFC-Standard State,
RFC 2256 st
2.5.4.8 RFC-Standard Anhang Mac OS X-Verzeichnisdaten 281 Zuordnungen für „Groups“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „Groups“ und die zugehörigen
Attribute den LDAP-Objektklassen zuordnet.
Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open
Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „Groups“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In Groups,
RFC 2307 posixGroup
1.3.6.1.1.1.2.2 objectCategory = Group Groups,
von Apple registriert apple-group
1.3.6.1.4.1.63.1000.1.1.2.14 Erweitertes Apple-Schema Attributzuordnungen für „Groups“ 282 Open Directory-Name,
RFC/Klasse LDAP-Attributname
OID Active DirectoryPlug-In RecordName,
RFC 2256 cn
2.5.4.3 RFC-Standard HomeDirectory,
von Apple registriert apple-group-homeurl
1.3.6.1.4.1.63.1000.1.1.1.14.1 Erweitertes Apple-Schema HomeLocOwner,
von Apple registriert apple-group-homeowner
1.3.6.1.4.1.63.1000.1.1.1.14.2 Erweitertes Apple-Schema MCXFlags,
von Apple registriert apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema MCXSettings,
von Apple registriert apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema RealName,
von Apple registriert apple-group-realname
1.3.6.1.4.1.63.1000.1.1.1.14.5 1.2.840.113556.1.2.13 (Microsoft) Picture,
von Apple registriert apple-user-picture
1.3.6.1.4.1.63.1000.1.1.1.1.12 Erweitertes Apple-Schema Keywords,
von Apple registriert apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema GeneratedUID,
von Apple registriert apple-generateduid
1.3.6.1.4.1.63.1000.1.1.1.1.20 Aus GUID – formatiert GroupMembership,
RFC 2307 memberUid
1.3.6.1.1.1.1.12 Aus Member generiert Anhang Mac OS X-Verzeichnisdaten Open Directory-Name,
RFC/Klasse LDAP-Attributname
OID Active DirectoryPlug-In Member,
RFC 2307 memberUid
1.3.6.1.1.1.1.12 Entspricht GroupMembership PrimaryGroupID,
RFC 2307 gidNumber
1.3.6.1.1.1.1.1 Mit RFC erweitert oder aus
GUID generiert Zuordnungen für „Mounts“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „Mounts“ und die zugehörigen
Attribute den LDAP-Objektklassen und -attributen zuordnet.
Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open
Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „Mounts“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In Mounts,
von Apple registriert mount
1.3.6.1.4.1.63.1000.1.1.2.8 Erweitertes Apple-Schema Attributzuordnungen für „Mounts“
Open Directory-Name,
RFC/Klasse LDAP-Attributname
OID Active DirectoryPlug-In RecordName,
RFC 2256 cn
2.5.4.3 RFC-Standard VFSLinkDir,
von Apple registriert mountDirectory
1.3.6.1.4.1.63.1000.1.1.1.8.1 Erweitertes Apple-Schema VFSOpts,
von Apple registriert mountOption
1.3.6.1.4.1.63.1000.1.1.1.8.3 Erweitertes Apple-Schema VFSType,
von Apple registriert mountType
1.3.6.1.4.1.63.1000.1.1.1.8.2 Erweitertes Apple-Schema VFSDumpFreq,
von Apple registriert mountDumpFrequency
1.3.6.1.4.1.63.1000.1.1.1.8.4 Erweitertes Apple-Schema VFSPassNo,
von Apple registriert mountPassNo
1.3.6.1.4.1.63.1000.1.1.1.8.5 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten 283 Zuordnungen für „Computers“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „Computers“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet.
Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open
Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „Computers“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In Computers,
von Apple registriert apple-computer
1.3.6.1.4.1.63.1000.1.1.2.10 objectCategory = Computer Attributzuordnungen für „Computers“ 284 Open Directory-Name,
RFC/Klasse
spezieller Zweck LDAP-Attributname
OID Active DirectoryPlug-In RecordName,
RFC 2256 cn
2.5.4.3 RFC-Standard RealName,
von Apple registriert apple-realname
1.3.6.1.4.1.63.1000.1.1.1.10.2 1.2.840.113556.1.2.13 (Microsoft) MCXFlags,
von Apple registriert apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema MCXSettings,
von Apple registriert apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema Group,
von Apple registriert apple-computer-list-groups
1.3.6.1.4.1.63.1000.1.1.1.11.4 Erweitertes Apple-Schema AuthenticationAuthority,
von Apple registriert authAuthority
1.3.6.1.4.1.63.1000.1.1.2.16.1 n. v. GeneratedUID,
von Apple registriert apple-generateduid
1.3.6.1.4.1.63.1000.1.1.1.1.20 Aus GUID – formatiert XMLPlist,
von Apple registriert apple-xmlplist
1.3.6.1.4.1.63.1000.1.1.1.17.1 Erweitertes Apple-Schema Comment,
RFC 2256 description
2.5.4.13 RFC-Standard ENetAddress,
RFC 2307 macAddress
1.3.6.1.1.1.1.22 Mit RFC erweitert UniqueID,
RFC 2307 uidNumber
1.3.6.1.1.1.1.0 Generiert aus GUID PrimaryGroupID,
RFC 2307 gidNumber
1.3.6.1.1.1.1.1 Mit RFC erweitert oder generiert Anhang Mac OS X-Verzeichnisdaten Open Directory-Name,
RFC/Klasse
spezieller Zweck LDAP-Attributname
OID Active DirectoryPlug-In SMBAccountFlags,
von Samba registriert,
Apple PDC acctFlags
1.3.6.1.4.1.7165.2.1.4 1.2.840.113556.1.4.302 (Microsoft) SMBPasswordLastSet,
von Samba registriert,
Apple PDC pwdLastSet
1.3.6.1.4.1.7165.2.1.3 1.2.840.113556.1.4.96 (Microsoft) SMBLogonTime,
von Samba registriert,
Apple PDC logonTime
1.3.6.1.4.1.7165.2.1.5 1.2.840.113556.1.4.52 (Microsoft) SMBLogoffTime,
von Samba registriert,
Apple PDC logoffTime
1.3.6.1.4.1.7165.2.1.6 1.2.840.113556.1.4.51 (Microsoft) SMBKickoffTime,
von Samba registriert,
Apple PDC kickoffTime
1.3.6.1.4.1.7165.2.1.7 Keine Zuordnung SMBRID,
von Samba registriert,
Apple PDC rid
1.3.6.1.4.1.7165.2.1.14 1.2.840.113556.1.4.153 (Microsoft) SMBGroupID,
von Samba registriert,
Apple PDC primaryGroupID
1.3.6.1.4.1.7165.2.1.15 1.2.840.113556.1.4.98 (Microsoft) Zuordnungen für „ComputerLists“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „ComputerLists“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet.
Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open
Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „ComputerLists“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In ComputerLists,
von Apple registriert apple-computer-list
1.3.6.1.4.1.63.1000.1.1.2.11 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten 285 Attributzuordnungen für „ComputerLists“
Open Directory-Name,
RFC/Klasse LDAP-Attributname
OID Active DirectoryPlug-In RecordName,
RFC 2256 cn
2.5.4.3 RFC-Standard MCXFlags,
von Apple registriert apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema MCXSettings,
von Apple registriert apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema Computers,
von Apple registriert apple-computers
1.3.6.1.4.1.63.1000.1.1.1.11.3 Erweitertes Apple-Schema Group,
von Apple registriert apple-computer-list-groups
1.3.6.1.4.1.63.1000.1.1.1.11.4 Erweitertes Apple-Schema Keywords,
von Apple registriert apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema Zuordnungen für „Config“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „Config“ und die zugehörigen
Attribute den LDAP-Objektklassen zuordnet.
Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open
Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „Config“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In Config,
von Apple registriert apple-configuration
1.3.6.1.4.1.63.1000.1.1.2.12 Erweitertes Apple-Schema Attributzuordnungen für „Config“ 286 Open Directory-Name,
RFC/Klasse
spezieller Zweck LDAP-Attributname
OID Active DirectoryPlug-In RecordName,
RFC 2256 cn
2.5.4.3 RFC-Standard RealName,
von Apple registriert apple-config-realname
1.3.6.1.4.1.63.1000.1.1.1.12.3 1.2.840.113556.1.2.13 (Microsoft) DataStamp,
von Apple registriert apple-data-stamp
1.3.6.1.4.1.63.1000.1.1.1.12.2 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten Open Directory-Name,
RFC/Klasse
spezieller Zweck LDAP-Attributname
OID Active DirectoryPlug-In KDCAuthKey,
von Apple registriert,
Apple KDC apple-kdc-authkey
1.3.6.1.4.1.63.1000.1.1.1.12.7 Keine Zuordnung KDCConfigData,
von Apple registriert,
Apple KDC apple-kdc-configdata
1.3.6.1.4.1.63.1000.1.1.1.12.8 Keine Zuordnung Keywords,
von Apple registriert apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema LDAPReadReplicas,
von Apple registriert,
Apple LDAP-Server apple-ldap-replica
1.3.6.1.4.1.63.1000.1.1.1.12.5 Keine Zuordnung LDAPWriteReplicas,
von Apple registriert,
Apple LDAP-Server apple-ldap-writable-replica
1.3.6.1.4.1.63.1000.1.1.1.12.6 Keine Zuordnung PasswordServerList,
von Apple registriert,
Kennwortserver apple-password-server-list
1.3.6.1.4.1.63.1000.1.1.1.12.4 Keine Zuordnung PasswordServerLocation,
von Apple registriert,
Kennwortserver apple-password-server-location
1.3.6.1.4.1.63.1000.1.1.1.12.1 Keine Zuordnung XMLPlist,
von Apple registriert apple-xmlplist
1.3.6.1.4.1.63.1000.1.1.1.17.1 Erweitertes Apple-Schema Zuordnungen für „People“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „People“ und die zugehörigen
Attribute den LDAP-Objektklassen zuordnet.
Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open
Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „People“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In People,
RFC 2798 inetOrgPerson
2.16.840.1.113730.3.2.2 RFC-Standard Anhang Mac OS X-Verzeichnisdaten 287 Attributzuordnungen für „People“ 288 Open Directory-Name,
RFC/Klasse LDAP-Attributname
OID Active DirectoryPlug-In RecordName,
RFC 2256 cn
2.5.4.3 RFC-Standard EMailAddress,
RFC 1274 mail
0.9.2342.19200300.100.1.3 RFC-Standard RealName,
RFC 2256 cn
1.2.840.113556.1.3.23 RFC-Standard LastName,
RFC 2256 sn
2.5.4.4 RFC-Standard FirstName,
RFC 2256 givenName
2.5.4.42 RFC-Standard FaxNumber,
RFC 2256 fax
2.5.4.23 RFC-Standard MobileNumber,
RFC 1274 mobile
0.9.2342.19200300.100.1.41 RFC-Standard PagerNumber,
RFC 1274 pager
0.9.2342.19200300.100.1.42 RFC-Standard Department,
RFC 2798, departmentNumber
2.16.840.1.113730.3.1.2 1.2.840.113556.1.2.141 (Microsoft) JobTitle,
RFC 2256 title
2.5.4.12 RFC-Standard PhoneNumber,
RFC 2256 telephoneNumber
2.5.4.20 RFC-Standard AddressLine1,
RFC 2256 street
2.5.4.9 RFC-Standard Street,
RFC 2256 street
2.5.4.9 RFC-Standard PostalAddress,
RFC 2256 postalAddress
2.5.4.16 RFC-Standard City,
RFC 2256 locality
2.5.4.7 RFC-Standard State,
RFC 2256 st
2.5.4.8 RFC-Standard Country,
RFC 2256 c
2.5.4.6 RFC-Standard PostalCode,
RFC 2256 postalCode
2.5.4.17 RFC-Standard OrganizationName,
RFC 2256 o
2.5.4.10 1.2.840.113556.1.2.146 (Microsoft) Anhang Mac OS X-Verzeichnisdaten Zuordnungen für „PresetComputerLists“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „PresetComputerList“ und die
zugehörigen Attribute den LDAP-Objektklassen zuordnet.
Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open
Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „PresetComputerLists“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In PresetComputerLists,
von Apple registriert apple-preset-computer-list
1.3.6.1.4.1.63.1000.1.1.2.13 Erweitertes Apple-Schema Attributzuordnungen für „PresetComputerLists“
Open Directory-Name,
RFC/Klasse LDAP-Attributname
OID Active DirectoryPlug-In RecordName,
RFC 2256 cn
2.5.4.3 RFC-Standard MCXFlags,
von Apple registriert apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema MCXSettings,
von Apple registriert apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema Keywords,
von Apple registriert apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema Zuordnungen für „PresetGroups“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „PresetGroups“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet.
Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open
Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „PresetGroups“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In PresetGroups,
von Apple registriert apple-preset-group
1.3.6.1.4.1.63.1000.1.1.3.14 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten 289 Attributzuordnungen für „PresetGroups“
Open Directory-Name,
RFC/Klasse LDAP-Attributname
OID Active DirectoryPlug-In HomeDirectory,
von Apple registriert apple-group-homeurl
1.3.6.1.4.1.63.1000.1.1.1.1.6 Erweitertes Apple-Schema HomeLocOwner,
von Apple registriert apple-group-homeowner
1.3.6.1.4.1.63.1000.1.1.1.14.2 Erweitertes Apple-Schema MCXFlags,
von Apple registriert apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema MCXSettings,
von Apple registriert apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema RealName,
von Apple registriert apple-group-realname
1.3.6.1.4.1.63.1000.1.1.1.14.5 Erweitertes Apple-Schema Keywords,
von Apple registriert apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema RecordName,
RFC 2256 cn
2.5.4.3 RFC-Standard GroupMembership,
RFC 2307 memberUid
1.3.6.1.1.1.1.12 Mit RFC erweitert PrimaryGroupID,
RFC 2307 gidNumber
1.3.6.1.1.1.1.1 Mit RFC erweitert Zuordnungen für „PresetUsers“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „PresetUsers“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet.
Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open
Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „PresetUsers“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In PresetUsers,
von Apple registriert apple-preset-user
1.3.6.1.4.1.63.1000.1.1.2.15 ObjectCategory = Person Attributzuordnungen für „PresetUsers“ 290 Open Directory-Name,
RFC/Klasse LDAP-Attributname
OID Active DirectoryPlug-In HomeDirectory,
von Apple registriert apple-user-homeurl
1.3.6.1.4.1.63.1000.1.1.1.1.6 n. v. HomeDirectoryQuota,
von Apple registriert apple-user-homequota
1.3.6.1.4.1.63.1000.1.1.1.1.8 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten Open Directory-Name,
RFC/Klasse LDAP-Attributname
OID Active DirectoryPlug-In HomeDirectorySoftQuota,
von Apple registriert apple-user-homesoftquota
1.3.6.1.4.1.63.1000.1.1.1.1.17 Erweitertes Apple-Schema MailAttribute,
von Apple registriert apple-user-mailattribute
1.3.6.1.4.1.63.1000.1.1.1.1.9 Erweitertes Apple-Schema PrintServiceUserData,
von Apple registriert apple-user-printattribute
1.3.6.1.4.1.63.1000.1.1.1.1.13 Erweitertes Apple-Schema MCXFlags,
von Apple registriert apple-mcxflags
1.3.6.1.4.1.63.1000.1.1.1.1.10 Erweitertes Apple-Schema MCXSettings,
von Apple registriert apple-mcxsettings
1.3.6.1.4.1.63.1000.1.1.1.1.16 Erweitertes Apple-Schema AdminLimits,
von Apple registriert apple-user-adminlimits
1.3.6.1.4.1.63.1000.1.1.1.1.14 Erweitertes Apple-Schema Picture,
von Apple registriert apple-user-picture
1.3.6.1.4.1.63.1000.1.1.1.1.12 Erweitertes Apple-Schema AuthenticationAuthority,
von Apple registriert authAuthority
1.3.6.1.4.1.63.1000.1.1.2.16.1 n. v. PasswordPolicyOptions,
von Apple registriert apple-user-passwordpolicy
1.3.6.1.4.1.63.1000.1.1.1.1.18 Erweitertes Apple-Schema PresetUserIsAdmin,
von Apple registriert apple-preset-user-is-admin
1.3.6.1.4.1.63.1000.1.1.1.15.1 Erweitertes Apple-Schema Keywords,
von Apple registriert apple-keyword
1.3.6.1.4.1.63.1000.1.1.1.1.19 Erweitertes Apple-Schema RecordName,
RFC 1274 cn
2.5.4.3 RFC-Standard RealName,
RFC 2256 cn
2.5.4.3 RFC-Standard Password,
RFC 2256 userPassword
2.5.4.35 n. v. GroupMembership,
RFC 2307 memberUid
1.3.6.1.1.1.1.12 Mit RFC erweitert PrimaryGroupID,
RFC 2307 gidNumber
1.3.6.1.1.1.1.1 Mit RFC erweitert NFSHomeDirectory,
RFC 2307 homeDirectory
1.3.6.1.1.1.1.3 n. v. UserShell,
RFC 2307 loginShell
1.3.6.1.1.1.1.4 Mit RFC erweitert Change,
RFC 2307 shadowLastChange
1.3.6.1.1.1.1.5 n. v. Expire,
RFC 2307 shadowExpire
1.3.6.1.1.1.1.10 n. v. Anhang Mac OS X-Verzeichnisdaten 291 Zuordnungen für „Printers“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „Printers“ und die zugehörigen
Attribute den LDAP-Objektklassen zuordnet.
Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open
Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „Printers“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In Printers,
von Apple registriert apple-printer
1.3.6.1.4.1.63.1000.1.1.2.9 ObjectCategory = Print-Queue Printers,
IETF-Draft-IPP-LDAP printerIPP
1.3.18.0.2.6.256 Attributzuordnungen für „Printers“ 292 Open Directory-Name,
RFC/Klasse
spezieller Zweck LDAP-Attributname
OID Active DirectoryPlug-In RecordName,
RFC 2256 cn
2.5.4.3 RFC-Standard RealName,
RFC 2256 Nicht vorab festgelegt 1.2.840.113556.1.4.300 (Microsoft) PrinterLPRHost,
von Apple registriert,
Legacy-Unterstützung apple-printer-lprhost
1.3.6.1.4.1.63.1000.1.1.1.9.2 n. v. PrinterLPRQueue,
von Apple registriert,
Legacy-Unterstützung apple-printer-lprqueue
1.3.6.1.4.1.63.1000.1.1.1.9.3 n. v. PrinterType,
von Apple registriert,
Legacy-Unterstützung apple-printer-type
1.3.6.1.4.1.63.1000.1.1.1.9.4 n. v. PrinterNote,
von Apple registriert,
Legacy-Unterstützung apple-printer-note
1.3.6.1.4.1.63.1000.1.1.1.9.5 n. v. Location,
IETF-Draft-IPP-LDAP Nicht vorab festgelegt, mögliche 1.2.840.113556.1.4.222 (Microsoft)
Zuordnung zu: printer-location
1.3.18.0.2.4.1136 Comment,
RFC 2256 Nicht vorab festgelegt, mögliche RFC-Standard
Zuordnung zu: description
2.5.4.13 Anhang Mac OS X-Verzeichnisdaten Open Directory-Name,
RFC/Klasse
spezieller Zweck LDAP-Attributname
OID Active DirectoryPlug-In PrinterMakeAndModel,
IETF-Draft-IPP-LDAP Nicht vorab festgelegt, mögliche 1.2.840.113556.1.4.229 (Microsoft)
Zuordnung zu:
printer-make-and-model
1.3.18.0.2.4.1138 PrinterURI,
IETF-Draft-IPP-LDAP Nicht vorab festgelegt, mögliche Generiert aus uNCName
Zuordnung zu: printer-uri
1.3.18.0.2.4.1140 PrinterXRISupported,
IETF-Draft-IPP-LDAP Nicht vorab festgelegt, mögliche Generiert aus portName/
Zuordnung zu:
uNCName
printer-xri-supported
1.3.18.0.2.4.1107 Printer1284DeviceID,
von Apple registriert Nicht vorab festgelegt, mögliche Erweitertes Apple-Schema
Zuordnung zu:
printer-1284-device-id
1.3.6.1.4.1.63.1000.1.1.1.9.6 Zuordnungen für „AutoServerSetup“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „AutoServerSetup“ und die
zugehörigen Attribute den LDAP-Objektklassen zuordnet.
Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open
Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „AutoServerSetup“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In AutoServerSetup,
von Apple registriert apple-serverassistant-config
1.3.6.1.4.1.63.1000.1.1.2.17 Erweitertes Apple-Schema Attributzuordnungen für „AutoServerSetup“
Open Directory-Name,
RFC/Klasse LDAP-Attributname
OID Active DirectoryPlug-In RecordName,
RFC 2256 cn
2.5.4.3 RFC-Standard XMLPlist,
von Apple registriert apple-xmlplist
1.3.6.1.4.1.63.1000.1.1.1.17.1 Erweitertes Apple-Schema Anhang Mac OS X-Verzeichnisdaten 293 Zuordnungen für „Locations“
In den folgenden Tabellen wird angegeben, wie das LDAPv3-Plug-In im Programm
„Verzeichnisdienste“ den Open Directory-Datensatztyp „Locations“ und die zugehörigen Attribute den LDAP-Objektklassen zuordnet.
Die Tabellen geben auch an, wie das Active Directory-Plug-In im Programm „Verzeichnisdienste“ Active Directory-Objektkategorien und -attribute zuordnet und aus Open
Directory-Datensatztypen und -attributen generiert.
Datensatztyp-Zuordnungen für „Locations“
Open Directory-Name,
RFC/Klasse LDAP-Objektklassenname
OID Active DirectoryPlug-In Locations,
von Apple registriert apple-location
1.3.6.1.4.1.63.1000.1.1.2.18 Erweitertes Apple-Schema Attributzuordnungen für „Locations“
Open Directory-Name,
RFC/Klasse LDAP-Attributname
OID Active DirectoryPlug-In RecordName,
RFC 2256 cn
2.5.4.3 RFC-Standard DNSDomain,
von Apple registriert apple-dns-domain
1.3.6.1.4.1.63.1000.1.1.1.18.1 Erweitertes Apple-Schema DNSNameServer,
von Apple registriert apple-dns-nameserver
1.3.6.1.4.1.63.1000.1.1.1.18.2 Erweitertes Apple-Schema Standardmäßige Open Directory-Datensatztypen
und -attribute
Informationen zu Standardattributen und -Datensatztypen in Open Directory-Domains
finden Sie unter:
 „Standardattribute in Benutzerdatensätzen“ auf Seite 295
 „Standardattribute in Gruppendatensätzen“ auf Seite 300
 „Standardattribute in Computerdatensätzen“ auf Seite 302
 „Standardattribute in Computergruppen-Datensätzen“ auf Seite 303
 „Standardattribute in Mount-Datensätzen“ auf Seite 303
 „Standardattribute in Config-Datensätzen“ auf Seite 304
Eine umfassende Liste der standardmäßigen Datensatztypen und -attribute finden Sie
in folgender Datei:
System/Library/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h 294 Anhang Mac OS X-Verzeichnisdaten Standardattribute in Benutzerdatensätzen
In der folgenden Tabelle werden die Standardattribute beschrieben, die in Open
Directory-Benutzerdatensätzen enthalten sind. Verwenden Sie diese Informationen,
wenn Sie im Bereich „Detailansicht“ des Arbeitsgruppenmanagers arbeiten oder
wenn Sie mit dem Programm „Verzeichnisdienste“ Attribute von Benutzerdatensätzen zuordnen.
Wichtig: Wenn Sie Mac OS X-Benutzerattribute einer schreib-/lesbaren LDAP-Verzeichnis-Domain (eine LDAP-Domain, die nicht schreibgeschützt ist) zuordnen, dürfen Sie die
Attribute „RealName“ und „RecordName“ nicht demselben LDAP-Attribut zuordnen.
Zum Beispiel dürfen Sie nicht sowohl „RealName“ als auch „RecordName“ dem Attribut
„cn“ zuordnen. Wenn „RealName“ und „RecordName“ demselben LDAP-Attribut zugeordnet werden, treten Probleme auf, wenn Sie versuchen, den vollständigen (langen)
Namen oder den ersten Kurznamen im Arbeitsgruppenmanager zu bearbeiten.
Mac OS X-Benutzerattribut Format Beispielwerte RecordName:
Erster Wert: ASCII-Zeichen A-Z,
a-z, 0-9, _, Eine Liste mit einem Benutzer
Zweiter Wert: UTF-8 Roman-Text
zugeordneten Namen. Beim
ersten Namen handelt es sich
um den Kurznamen des Benutzers, der auch als Name für den
Benutzerordner verwendet wird.
Wichtig: Alle für die Identifizierung verwendeten Attribute
müssen „RecordName“ zugeordnet werden. Dave
David Mac
DMacSmith
Länge nicht null, 1 bis 16 Werte.
Maximal 255 Byte (85 Dreifachbyte- bis 255 Einzelbytezeichen)
pro Instanz.
Der erste Wert muss 1 bis
8 Byte für Clients betragen,
die mit Mac OS X 10.1 (oder
älter) arbeiten. RealName:
Ein einzelner Name, meist der
vollständige Name des Benutzers. Wird nicht für die Identifizierung verwendet. UTF-8-Text David L. MacSmith, Jr.
Länge nicht null, maximal
255 Byte (85 Dreifachbytebis 255 Einzelbytezeichen). UniqueID:
Eine eindeutige Benutzer-ID,
verwendet für die Verwaltung
der Zugriffsrechte. Mit Vorzeichen versehene
32-Bit-ASCII-Zeichenfolge
aus den Ziffern 0-9 Werte unter 500 haben ggf. eine
besondere Bedeutung. Werte
unter 100 sind normalerweise
für System-Accounts reserviert.
Der Wert 0 (Null) ist für die Verwendung durch das System
reserviert.
Normalerweise in der gesamten
Benutzerpopulation eindeutig,
kann jedoch manchmal dupliziert werden.
Achtung: Ein nicht als Ganzzahl geltender Wert wird als 0
interpretiert, was der „UniqueID“
des root-Benutzer-Accounts
entspricht. Anhang Mac OS X-Verzeichnisdaten 295 296 Mac OS X-Benutzerattribut Format Beispielwerte PrimaryGroupID:
Die primäre Gruppenzuordnung
eines Benutzers. Mit Vorzeichen versehene
32-Bit-ASCII-Zeichenfolge
aus den Ziffern 0-9 Der Bereich ist 1 bis
2.147.483.648.
Im Normalfall eindeutiger
Wert unter allen Gruppendatensätzen. Wenn leer, wird
20 angenommen. NFSHomeDirectory:
Pfad des lokalen Dateisystems
zum Benutzerordner. UTF-8-Text /Network/Servers/example/
Users/K-M/Tom King
Länge nicht null. Maximal
255 Byte. HomeDirectory:
Der Speicherort eines
AFP-basierten Benutzerordners. UTF-8 XML-Text
afp://server/sharept
usershomedir
Im folgenden Beispiel ist „K-M/
Tom King“ der Benutzerordner
von Tom King, der sich unterhalb des Netzwerkordners
„Users“ befindet:
afp://example.com/
Users
K-M/Tom King
HomeDirectoryQuota:
Das Festplattenkontingent für
den Benutzerordner. Text für die Anzahl
zulässiger Byte Beträgt das Kontingent 10 MB,
lautet der Wert „1048576“. MailAttribute:
Die Konfiguration des MailDiensts eines Benutzers. UTF-8 XML-Text PrintServiceUserData:
Die Druckkontingent-Statistik
eines Benutzers. UTF-8 XML plist, einzelner Wert MCXFlags:
Wenn vorhanden, wird
MCXSettings geladen.
Wenn nicht vorhanden,
wird MCXSettings nicht
geladen. Erforderlich für
einen verwalteten Benutzer. UTF-8 XML plist, einzelner Wert MCXSettings:
Die verwalteten Einstellungen
eines Benutzers. UTF-8 XML plist, mehrwertig Anhang Mac OS X-Verzeichnisdaten . Mac OS X-Benutzerattribut Format AdminLimits:
Die Zugriffsrechte, die vom
Arbeitsgruppenmanager einem
Benutzer zugewiesen wurden,
der die Verzeichnis-Domain verwalten kann. UTF-8 XML plist, einzelner Wert Kennwort:
Das Kennwort des Benutzers. UNIX-Verschlüsselung Picture:
Pfad zu einer erkannten Grafikdatei, die als Bild für den Benutzer verwendet wird. UTF-8-Text Maximal 255 Byte. Comment:
Jede beliebige Dokumentation. UTF-8-Text John ist für das ProduktMarketing zuständig.
Maximal 32.676 Byte. UserShell:
Der Speicherort der StandardShell für Interaktionen mit dem
Server über die Befehlszeile. Pfadname /bin/tcsh
/bin/sh
Keiner. Dieser Wert verhindert,
dass Benutzer mit Accounts in
der Verzeichnis-Domain entfernt über eine Befehlszeile
auf den Server zugreifen.
Länge nicht null. Change:
Wird nicht von Mac OS X
verwendet, aber entspricht
einem Teil des StandardLDAP-Schemas. Zahl Expire:
Wird nicht von Mac OS X
verwendet, aber entspricht
einem Teil des StandardLDAP-Schemas. Zahl Anhang Mac OS X-Verzeichnisdaten Beispielwerte 297 Mac OS X-Benutzerattribut Format Beispielwerte AuthenticationAuthority:
ASCII-Text
Beschreibt die Identifizierungsmethoden des Benutzers, etwa
Open Directory, „Shadow“-Kennwort oder „Crypt“-Kennwort.
Nicht erforderlich für einen
Benutzer mit lediglich einem
„Crypt“-Kennwort.
Fehlt dieses Attribut, wird eine
ältere Identifizierungsmethode
verwendet („Crypt“-Kennwort
mit Identifizierungsmanager,
falls verfügbar). Werte beschreiben die Identifizierungsmethoden des Benutzers.
Kann mit mehreren Werten
versehen werden (z. B.
;ApplePasswordServer;
und ;Kerberosv5;).
Jeder Wert hat das Format
vers; tag; data (wobei vers und
data nicht leer sein dürfen).
„Crypt“-Kennwort: ;basic;
Open Directory-Kennwort:
;ApplePasswordServer; HexID,
IP-Adresse des öffentlichen ServerSchlüssels:port ;Kerberosv5;
Kerberos-Daten
„Shadow“-Kennwort
(nur lokale Verzeichnis-Domain):
 ;ShadowHash;
 ;ShadowHash; AuthenticationHint:
Vom Benutzer als Kennworterinnerung festgelegter Text. UTF-8-Text Ihre Schätzung ist so gut
wie meine.
Maximal 255 Byte. Jede legale RFC 822-E-MailAdresse FirstName:
Wird vom Adressbuch und
anderen Programmen verwendet, die den Suchpfad
für Kontakte verwenden.
LastName:
Wird vom Adressbuch und
anderen Programmen verwendet, die den Suchpfad
für Kontakte verwenden.
EMailAddress:
Eine E-Mail-Adresse, an die
E-Mails weitergeleitet werden
sollen, wenn ein Benutzer kein
Attribut „MailAttribute“ definiert hat.
Wird von Adressbuch, Mail und
anderen Programmen verwendet, die den Suchpfad für Kontakte verwenden. 298 Anhang Mac OS X-Verzeichnisdaten Mac OS X-Benutzerattribut Format Beispielwerte PhoneNumber:
Wird vom Adressbuch und
anderen Programmen verwendet, die den Suchpfad
für Kontakte verwenden.
AddressLine1:
Wird vom Adressbuch und
anderen Programmen verwendet, die den Suchpfad
für Kontakte verwenden.
PostalAddress:
Wird vom Adressbuch und
anderen Programmen verwendet, die den Suchpfad
für Kontakte verwenden.
PostalCode:
Wird vom Adressbuch und
anderen Programmen verwendet, die den Suchpfad
für Kontakte verwenden.
OrganizationName:
Wird vom Adressbuch und
anderen Programmen verwendet, die den Suchpfad
für Kontakte verwenden. Von Mac OS X Server verwendete Benutzerdaten
Die folgende Tabelle beschreibt, wie Mac OS X Server Daten aus Benutzerdatensätzen
in Verzeichnis-Domains verwendet. Dieser Tabelle können Sie die Attribute oder Datentypen entnehmen, die die Dienste Ihres Servers in Benutzereinträgen von VerzeichnisDomains erwarten.
Der Eintrag „Alle Dienste“ ganz links in der Tabelle umfasst AFP, SMB, FTP, HTTP, NFS,
WebDAV, POP, IMAP, Arbeitsgruppenmanager, Server-Admin und das Mac OS XAnmeldefenster.
Serverkomponente Mac OS X-Benutzerattribut Abhängigkeit Alle Dienste RecordName Für Identifizierung erforderlich Alle Dienste RealName Für Identifizierung erforderlich Alle Dienste AuthenticationAuthority Verwendet für die Identifizierung mittels Kerberos, Kennwortserver und „Shadow“-Kennwort Anhang Mac OS X-Verzeichnisdaten 299 Serverkomponente Mac OS X-Benutzerattribut Abhängigkeit Alle Dienste Kennwort Verwendet für einfache Identifizierung („Crypt“-Kennwort)
oder für identifizierte LDAPVerzeichnisbindung Alle Dienste UniqueID Für Berechtigung erforderlich
(z. B. Dateiberechtigungen
und E-Mail-Accounts) Alle Dienste PrimaryGroupID Für Berechtigung erforderlich
(z. B. Dateiberechtigungen
und E-Mail-Accounts) FTP-Dienst
Webdienst
Apple-Dateidienst
NFS-Dienst
Mac OS X-Anmeldefenster
Programm- und Systemeinstellungen HomeDirectory
NFSHomeDirectory Optional Mail-Dienst MailAttribute Für die Anmeldung beim
Mail-Dienst auf Ihrem Server
erforderlich Mail-Dienst EMailAddress Optional Standardattribute in Gruppendatensätzen
In der folgenden Tabelle werden die Standardattribute beschrieben, die in Open
Directory-Gruppendatensätzen enthalten sind. Verwenden Sie diese Informationen,
wenn Sie im Fenster „Detailansicht“ des Arbeitsgruppenmanagers arbeiten oder mit
dem Programm „Verzeichnisdienste“ Gruppenattribute zuweisen. 300 Mac OS X-Gruppenattribut Format Beispielwerte RecordName:
Name, der einer Gruppe
zugeordnet ist ASCII-Zeichen A-Z, a-z, 0-9, _ Science
Science_Dept
Science.Teachers
Länge nicht null, maximal
255 Byte (85 Dreifachbytebis 255 Einzelbytezeichen). RealName:
Normalerweise der vollständige
Name der Gruppe UTF-8-Text Science Department Teachers
Länge nicht null, maximal
255 Byte (85 Dreifachbytebis 255 Einzelbytezeichen). PrimaryGroupID:
Ein eindeutiger Bezeichner für
die Gruppe Mit Vorzeichen versehene
32-Bit-ASCII-Zeichenfolge
aus den Ziffern 0-9 Im Normalfall eindeutiger Name
unter allen Gruppendatensätzen. Anhang Mac OS X-Verzeichnisdaten Mac OS X-Gruppenattribut Format Beispielwerte GroupMembership:
Eine Liste von Kurznamen der
Benutzerdatensätze, die als Teil
der Gruppe angesehen werden ASCII-Zeichen A-Z, a-z, 0-9, _, -, - bsmith, jdoe
Kann eine leere Liste sein
(normalerweise für die Primärgruppe des Benutzers). HomeDirectory:
Der Speicherort eines AFPbasierten Benutzerordners für
die Gruppe Strukturierter UTF-8-Text
afp://server/sharept
grouphomedir
Im folgenden Beispiel ist „K-M/
Science“ der Benutzerordner der
Gruppe „Science“, der sich unterhalb des Netzwerkordners
„Groups“ befindet:
afp://example.com/
Groups
K-M/Science
Member:
Gleiche Daten wie
GroupMembership, beide
werden jedoch von unterschiedlichen Diensten von
Mac OS X Server verwendet ASCII-Zeichen A-Z, a-z, 0-9, _, -, - bsmith, jdoe
Kann eine leere Liste sein
(normalerweise für die Primärgruppe des Benutzers). HomeLocOwner:
Der Kurzname des Benutzers,
der als Eigentümer des Benutzerordners der Gruppe gilt ASCII-Zeichen A-Z, a-z, 0-9, _, -, - MCXFlags:
Wenn vorhanden, wird
MCXSettings geladen.
Wenn nicht vorhanden,
wird MCXSettings nicht
geladen. Erforderlich
für einen verwalteten
Benutzer. UTF-8 XML plist, einzelner Wert MCXSettings:
Die Einstellungen für eine
Arbeitsgruppe (eine verwaltete Gruppe) UTF-8 XML plist, mehrwertig Anhang Mac OS X-Verzeichnisdaten 301 Standardattribute in Computerdatensätzen
In der folgenden Tabelle werden die Standardattribute beschrieben, die in Open
Directory-Computerdatensätzen enthalten sind.
Computerdatensätze dienen dazu, die Hardwareadresse der primären Ethernet-Schnittstelle eines Computers einem Namen für den Computer zuzuordnen. Der Name ist Teil
eines Computergruppen-Datensatzes (ähnlich wie ein Benutzer Teil einer Gruppe ist).
Verwenden Sie diese Informationen, wenn Sie im Bereich „Detailansicht“ des Arbeitsgruppenmanagers arbeiten oder wenn Sie mit dem Programm „Verzeichnisdienste“
Attribute von Computerdatensätzen zuordnen. 302 Mac OS X-Computer-Attribut Format Beispielwerte RecordName:
Der einem Computer zugeordnete Name. UTF-8-Text iMac 1 Comment:
Jede beliebige Anmerkung. UTF-8-Text EnetAddress:
Der Wert dieses Attributs muss
der Ethernetadresse (auch als
MAC-Adresse bezeichnet) der
integrierten Ethernetschnittstelle des Computers entsprechen, auch wenn der Computer
über eine andere Netzwerkschnittstelle wie AirPort auf das
Verzeichnis zugreift. Durch Doppelpunkte getrennte
Hexadezimalschreibweise; führende Nullen können weggelassen werden MCXFlags:
Nur im Computerdatensatz
„guest“ verwendet. Wenn vorhanden, wird MCXSettings
geladen. Wenn nicht vorhanden, wird MCXSettings nicht
geladen. Erforderlich für einen
verwalteten Computer. UTF-8 XML plist, einzelner Wert MCXSettings:
Nur im Computerdatensatz
„guest“ verwendet. Bezeichnet
die Einstellungen eines verwalteten Computers. UTF-8 XML plist, mehrwertig Anhang Mac OS X-Verzeichnisdaten 00:05:02:b7:b5:88 Standardattribute in Computergruppen-Datensätzen
In der folgenden Tabelle werden die Standardattribute beschrieben, die in Open
Directory-Computergruppen-Datensätzen enthalten sind. Ein ComputergruppenDatensatz identifiziert eine Gruppe an Computern (ähnlich wie ein Gruppendatensatz eine Reihe an Benutzern identifiziert).
Verwenden Sie diese Informationen, wenn Sie im Bereich „Detailansicht“ des Arbeitsgruppenmanagers arbeiten oder wenn Sie mit dem Programm „Verzeichnisdienste“
Attribute von Computergruppen-Datensätzen zuordnen.
Mac OS X-ComputergruppenAttribute Format Beispielwerte RecordName:
Der einer Computergruppe
zugeordnete Name. UTF-8-Text Laborcomputer
Länge nicht null, maximal
255 Byte (85 Dreifachbytebis 255 Einzelbytezeichen). MCXFlags UTF-8 XML plist, einzelner Wert MCXSettings:
Speichert Einstellungen für
einen verwalteten Computer UTF-8 XML plist, mehrwertig Computers Mehrwertige Liste mit Computer- iMac 1, iMac 2
Datensatznamen Gruppe
Eine Liste der Gruppen, deren
Mitglieder sich bei den Computern in dieser Computergruppe
anmelden Mehrwertige Liste mit Kurznamen von Gruppen herbivores,omnivores Standardattribute in Mount-Datensätzen
In folgender Tabelle werden die Standardattribute beschrieben, die in Open DirectoryMount-Datensätzen enthalten sind. Verwenden Sie diese Informationen, wenn Sie im
Bereich „Detailansicht“ des Arbeitsgruppenmanagers arbeiten oder wenn Sie mit dem
Programm „Verzeichnisdienste“ Attribute von Mount-Datensätzen zuordnen.
Mac OS XMount-Attribute Format Beispielwerte RecordName:
Host und Pfad des
Netzwerkvolumes UTF-8-Text hostname:/path on server
indigo:/Volumes/home2 VFSLinkDir:
Pfad für die Aktivierung
auf einem Client UTF-8-Text /Network/Servers Anhang Mac OS X-Verzeichnisdaten 303 Mac OS XMount-Attribute Format Beispielwerte VFSType ASCII-Text Für AFP:
url
Für NFS:
nfs VFSOpts UTF-8-Text Für AFP (zwei Werte):
net
url==afp://
;AUTH=NO%20USER%20
AUTHENT@server/sharepoint/
Für NFS:
net VFSDumpFreq
VFSPassNo Standardattribute in Config-Datensätzen
In folgender Tabelle werden die Standardattribute beschrieben, die in den folgenden
Open Directory-Config-Datensätzen enthalten sind.
 Der Datensatz „mcx_cache“ hat immer den Wert „mcx_cache“ für „RecordName“.
Er verwendet auch „RealName“ und „DataStamp“ für die Festlegung, ob der Cache
aktualisiert oder die Servereinstellungen ignoriert werden sollten. Wenn Sie verwaltete Clients verwenden wollen, benötigen Sie einen Config-Datensatz „mcx_cache“.
 Der Datensatz „passwordserver“ verfügt über das Attribut „PasswordServerLocation“.
Verwenden Sie diese Informationen, wenn Sie im Fenster „Detailansicht“ des Arbeitsgruppenmanagers arbeiten oder mit dem Programm „Verzeichnisdienste“ Attribute
für Config-Datensätze zuweisen. 304 Mac OS X-Config-Attribute Format RecordName:
Name, der einer Konfiguration
zugeordnet ist ASCII-Zeichen A–Z, a–z, 0–9, _, -, . mcx_cache
passwordserver
Länge nicht null, maximal
255 Byte (85 Dreifachbytebis 255 Einzelbytezeichen). Beispielwerte PasswordServerLocation:
IP-Adresse oder Host-Name
Identifiziert den Host des Kennwortservers, der der VerzeichnisDomain zugeordnet ist 192.168.1.90 RealName Für den Config-Datensatz
„mcx_cache“ ist „RealName“
eine GUID. DataStamp Für den Config-Datensatz
„mcx_cache“ ist „DataStamp“
eine GUID. Anhang Mac OS X-Verzeichnisdaten Glossar Glossar Active Directory Der Verzeichnis- und Identifizierungsdienst von Microsoft
Windows 2000 Server, Windows Server 2003 und Windows Server 2003 R2.
Administrator Ein Benutzer mit Verwaltungsrechten für einen Server oder eine Verzeichnis-Domain. Administratoren sind grundsätzlich Mitglieder der vordefinierten
„admin“-Gruppe.
Administratorcomputer Ein Mac OS X-Computer, auf dem die Programme für die
Serververwaltung von der CD „Mac OS X Server-Admin“ installiert wurden.
AFP Apple Filing Protocol. Ein Client-/Serverprotokoll, das der Apple-Dateidienst für die
gemeinsame Nutzung von Dateien und Netzwerkdiensten verwendet. AFP verwendet
TCP/IP und andere Protokolle zur Unterstützung der Kommunikation zwischen Computern in einem Netzwerk.
Attribut Ein benanntes Datenobjekt, das einen bestimmten Informationstyp enthält
und zu einem Eintrag (Datensatz oder Objekt) in einer Verzeichnis-Domain gehört. Die
tatsächlichen Daten eines Attributs stellen dessen Wert dar.
Authentication Authority, Attribut Ein Wert, der das für einen Benutzer angegebene
Kennwortprüfschema angibt und bei Bedarf zusätzliche Informationen bereitstellt.
Autorisierung Das Verfahren, mit dem ein Server festlegt, ob ein Benutzer Zugriff
auf eine bestimmte Ressource erhält und welche Berechtigungsebenen dem Benutzer zugewiesen werden. In der Regel erfolgt die Autorisierung erst, nachdem durch
die Identifikationsüberprüfung die Identität des Benutzers bestätigt wurde. So erteilt
beispielsweise der Dateidienst einem Benutzer, dessen Identifikationsüberprüfung
erfolgreich abgeschlossen wurde, alle Zugriffsrechte für dessen Ordner und Dateien.
Benutzername Der Langname eines Benutzers, auch als „vollständiger Name“ bezeichnet. Vgl. auch Kurzname, Langname.
Bindung Eine Verbindung zwischen einem Computer und einer Verzeichnis-Domain
zum Abrufen von Identifizierungs- und Autorisierungsdaten und anderen Verwaltungsdaten. Vgl. auch Vertrauenswürdige Bindung. 305 Bonjour Ein von Apple entwickeltes Protokoll zur automatischen Erkennung von
Computern, Geräten und Diensten in IP-Netzwerken. Dieses Internet-Standardprotokoll
wird von Apple als „Bonjour“ bezeichnet und wird gelegentlich auch „ZeroConf“ oder
„Multicast-DNS“ genannt. Weitere Informationen finden Sie unter: www.apple.com oder
www.zeroconf.org. Zur Verwendung dieses Protokolls im Zusammenhang mit Mac OS X
Server finden Sie unter Lokaler Hostname.
BSD Berkeley Software Distribution. UNIX Version, auf der die Mac OS X Software
basiert.
CIFS Common Internet File System. Vgl. SMB.
Computer-Account Ein Computer-Account speichert Daten, mit denen Mac OS X
Server einen einzelnen Computer identifizieren und verwalten kann. Sie erstellen
einen Computer-Account für jeden Computer, den Sie zu einer Computergruppe
hinzufügen möchten.
Computerliste Eine Reihe von Computern, auf die alle verwalteten Einstellungen
angewendet werden, die für die Liste festgelegt wurden. Alle Computer stehen einer
bestimmten Auswahl von Benutzern und Gruppen zur Verfügung. Ein Computer kann
Mitglied nur einer Computerliste sein. Computerlisten werden in Mac OS X Server Version 10.4 (oder älter) erstellt.
Cracker Ein Benutzer mit böswilligen Absichten, der unberechtigten Zugriff auf ein
Computersystem erhalten will, um Computer und Netzwerke zu stören oder Informationen zu stehlen. Vgl. Hacker.
„Crypt“-Kennwort Ein Kennworttyp, der als Prüfsumme (unter Verwendung des
standardmäßigen UNIX Verschlüsselungsalgorithmus) direkt in einem Benutzerdatensatz gespeichert wird.
DHCP Dynamic Host Configuration Protocol. Ein Protokoll für die dynamische Verteilung von IP-Adressen an Client-Computer. Bei jedem Starten eines Client-Computers
sucht das Protokoll nach einem DHCP-Server und fordert eine IP-Adresse von diesem
Server an. Der DHCP-Server sucht nach einer verfügbaren IP-Adresse und sendet sie
zusammen mit einer Lease-Dauer – der Zeitspanne, während der der Client-Computer
die Adresse nutzen darf – an den Client-Computer.
Distinguished Name (DN) Bezeichnet einen Eintrag (ein Objekt) in einem LDAP-Verzeichnis. Dargestellt als eine Sequenz von durch Kommas getrennten Verzeichniseinträgen, beginnend mit dem Eintrag selbst und gefolgt von den anderen Objekten,
die jeweils ihr eigenes Attribut Eintrag hinzufügen. Beispiel: „cn=users, dc=example,
dc=com“. 306 Glossar Eigenständiger Server Ein Server, der Dienste in einem Netzwerk bereitstellt, jedoch
keine Verzeichnisdienste von einem anderen Server erhält oder diese anderen Computern bietet.
Eigentümer Der Eigentümer eines Objekts kann die Zugriffsberechtigungen eines
Objekts ändern. Der Eigentümer kann auch den Gruppeneintrag in eine beliebige
Gruppe ändern, deren Mitglied der Eigentümer ist. Standardmäßig verfügt der Eigentümer über Lese- und Schreibrechte.
FTP File Transfer Protocol. Ein Protokoll, das Computern das Übertragen von Dateien
über ein Netzwerk ermöglicht. FTP-Clients mit einem beliebigen Betriebssystem, das
FTP unterstützt, können in Abhängigkeit von den jeweiligen Zugriffsrechten eine
Verbindung zu Ihrem File Server herstellen und Dateien laden. Die meisten InternetBrowser und eine Reihe von Freeware-Programmen können für den Zugriff auf einen
FTP-Server genutzt werden.
Gastbenutzer Ein Benutzer, der sich ohne Benutzername oder Kennwort bei Ihrem
Server anmelden kann.
Gesamtauthentifizierung (Single Sign-On) Eine Strategie zur Identifizierung, die
Benutzern erspart, für jeden Netzwerkdienst einen Namen und ein Kennwort eingeben zu müssen. Mac OS X Server verwendet Kerberos zur Umsetzung der Gesamtauthentifizierung.
Gruppe Ein Benutzerkollektiv mit ähnlichen Anforderungen. Die Unterteilung in
Gruppen vereinfacht die Verwaltung gemeinsamer Ressourcen.
Gruppenordner Ein Ordner, in dem Dokumente und Programme verwaltet werden,
die für Gruppenmitglieder wichtig sind und über den Gruppenmitglieder Informationen untereinander austauschen können.
Hacker Ein Technik- und Programmierenthusiast, der versucht, die Fähigkeiten und
Funktionen eines Computersystems zu ergründen (oder auch unberechtigterweise in
fremde Systeme einzudringen). Vgl. auch Cracker.
Identifizierung Der Prozess, bei dem die Identität des Benutzers verifiziert wird (meist
durch Prüfung eines Benutzernamens und eines Kennworts). In der Regel erfolgt zuerst
die Identifikationsüberprüfung, bevor in einem separaten Autorisierungsprozess anhand
der Zugriffsrechte eines Benutzers eine bestimmte Ressource freigegeben wird. So wird
beispielsweise einem identifizierten Benutzer vom Dateidienst die Berechtigung zum
uneingeschränkten Zugriff auf die eigenen Ordner und Dateien erteilt.
IP Internet Protocol. Auch unter der Abkürzung IPv4 bekannt. Eine bei Transmission
Control Protocol (TCP) zum Senden von Daten zwischen Computern über ein lokales
Netzwerk oder das Internet verwendete Methode. IP überträgt Datenpakete und TCP
protokolliert Datenpakete. Glossar 307 IP-Adresse Eine eindeutige numerische Adresse zur Identifizierung eines Computers
im Internet.
KDC Kerberos Key Distribution Center. Ein vertrauenswürdiger Server, der KerberosTickets ausgibt.
Kennwort Eine alphanumerische Zeichenfolge, mit der die Identität eines Benutzers
bestätigt oder der Zugriff auf Dateien oder Dienste genehmigt wird.
Kennwortserver Vgl. Open Directory-Kennwortserver.
Kerberos Ein sicheres System zur Netzwerkidentifikationsüberprüfung. Kerberos arbeitet mit Tikkets, die für einen bestimmten Benutzer, Server und Zeitpunkt vergeben werden. Nachdem ein Benutzer identifiziert wurde, ist der Zugriff auf weitere Dienste ohne
erneute Eingabe eines Kennworts möglich (Gesamt-Authentifizierung genannt). Dies gilt
für Dienste, die für die Annahme von Kerberos-Tickets konfiguriert wurden. Mac OS X
Server verwendet Kerberos v5.
Kerberos-Realm Die Domain für die Identifikationsüberprüfung, die die Benutzer und
Dienste umfasst, die beim gleichen Kerberos Server registriert sind. Die registrierten
Benutzer und Dienste verlassen sich auf den Kerberos-Server beim Überprüfen der
jeweiligen Identität.
Klasse Vgl. Objektklasse.
Kurzname Ein abgekürzter Name für einen Benutzer. Der Kurzname wird von Mac OS X
für Privatordner, Identifizierung und E-Mail-Adressen verwendet.
Langname Die lange Form eines Benutzer- oder Gruppennamens.
Vgl. auch Benutzername.
LDAP Lightweight Directory Access Protocol. Ein standardmäßiges Client/ServerProtokoll für den Zugriff auf eine Verzeichnis-Domain.
Lokale Domain Eine Verzeichnis-Domain, auf die nur der Computer zugreifen kann,
auf dem sie sich befindet.
Lokaler Hostname Ein Name, der einen Computer in einem lokalen Teilnetzwerk
bezeichnet. Er kann ohne globales DNS-System dazu verwendet werden, Namen
zu IP-Adressen aufzulösen. Er besteht aus Kleinbuchstaben, Zahlen oder Bindestrichen (dies gilt nicht für die letzten Zeichen) und endet mit „.local“ (z. B. „billscomputer.local“). Der Standardname wird zwar vom Computernamen abgeleitet,
aber ein Benutzer kann diesen Namen in der Systemeinstellung „Sharing“ festlegen. Er kann problemlos geändert und überall als DNS-Name oder qualifizierter
Domain Name verwendet werden. Er kann nur im gleichen Teilnetzwerk aufgelöst
werden, zu dem der ihn verwendende Computer gehört. 308 Glossar Mac OS X Die neuste Version des Apple-Betriebssystems. Mac OS X verbindet die
Zuverlässigkeit von UNIX mit der Benutzerfreundlichkeit des Macintosh.
Mac OS X Server Eine leistungsfähige Serverplattform, die Macintosh-, Windows-,
UNIX- und Linux-Clients sofortige Unterstützung bietet und eine ganze Reihe skalierbarer Arbeitsgruppen- und Netzwerkdienste und leistungsstarke Programme für die
Fernverwaltung zur Verfügung stellt.
NetInfo Ein älteres Apple-Protokoll für den Zugriff auf eine Verzeichnis-Domain.
Netzwerkvolume Ein Ordner, eine Festplatte (oder Festplattenpartition) oder ein
optisches Laufwerk, der/die/das im Netzwerk verfügbar ist. Ein Netzwerkordner ist der
Zugriffspunkt auf der obersten Ebene einer Gruppe von Netzwerkobjekten. Netzwerkordner können mithilfe von AFP, SMB, NFS (Export) oder FTP bereitgestellt werden.
Objektklasse Ein Satz von Regeln, die ähnliche Objekte in einer Verzeichnis-Domain
definieren, in dem sie Attribute angeben, die jedes Objekt haben muss, und andere
Attribute, die jedes Objekt haben kann.
Open Directory Die Apple-Architektur der Verzeichnisdienste, die auf Berechtigungsinformationen über Benutzer und Netzwerkressourcen in Verzeichnis-Domains zugreifen kann, die LDAP, Active Directory-Protokolle oder BSD-Konfigurationsdateien sowie
Netzwerkdienste verwenden.
Open Directory Master Ein Server, der einen LDAP-Verzeichnisdienst, Kerberos-Identifizierungsdienst und Open Directory-Kennwortserver bereitstellt.
Open Directory-Kennwort Ein in einer sicheren Datenbank auf dem Server gespeichertes Kennwort, das mit Open Directory-Kennwortserver oder Kerberos identifiziert
werden kann (wenn Kerberos zur Verfügung steht).
Open Directory-Kennwortserver Ein Identifizierungdienst, der Kennwörter mithilfe
einer Vielzahl an konventionellen Identifizierungsmethoden überprüft, die für die
verschiedenen Dienste von Mac OS X Server erforderlich sind. Die Identifizierungsmethoden umfassen APOP, CRAM-MD5, DHX, LAN Manager, NTLMv1, NTLMv2 und
WebDAV-Digest.
Open-Source Eine Bezeichnung für die gemeinschaftliche Entwicklung von Software
durch die Internet-Community. Das Grundprinzip besteht darin, so viele Personen wie
möglich am Schreiben und Debugging von Code zu beteiligen, indem der Quellcode
veröffentlicht und die Bildung einer großen Community von Entwicklern gefördert
wird, die Änderungen und Erweiterungen einreichen.
Primärgruppe Die Standardgruppe eines Benutzers. Das Dateisystem verwendet die
ID der Primärgruppe, wenn ein Benutzer auf eine Datei zugreift, deren Eigentümer er
nicht ist. Glossar 309 Primärgruppen-ID Eine Nummer, durch die eine Primärgruppe eindeutig identifiziert wird.
Prinzipal, Kerberos Der Name und andere identifizierende Informationen eines Clients
oder Diensts, den Kerberos identifizieren kann. Ein Benutzer-Prinzipal ist normalerweise
der Name eines Benutzers bzw. der Name eines Benutzers und der Kerberos-Realm. Ein
Dienst-Prinzipal ist in der Regel der Dienst-Name, der vollständig qualifizierte DNS-Name
eines Servers und der Kerberos-Realm.
Protokoll Eine Gruppe von Regeln, über die festgelegt wird, in welcher Form Daten
zwischen zwei Programmen ausgetauscht werden müssen.
Prüfsumme (Hash) Eine verschlüsselte Form eines Kennworts oder anderen Texts.
Schema Die Sammlung von Attributen und Datensatztypen oder Klassen, die eine
Kopie für die Informationen in einer Verzeichnis-Domain enthalten.
„Shadow“-Kennwort Ein Kennwort, das in einer sicheren Datei auf dem Server gespeichert ist und mit einer Vielzahl an konventionellen Identifizierungsmethoden verifiziert
werden kann, die für die verschiedenen Dienste von Mac OS X Server erforderlich sind.
Die Identifizierungsmethoden umfassen APOP, CRAM-MD5, DHX, LAN Manager, NTLMv1,
NTLMv2 und WebDAV-Digest.
SLP DA Service Location Protocol Directory Agent. Ein Protokoll, das die in einem
Netzwerk verfügbaren Dienste registriert und den Benutzern einfachen Zugriff auf
diese Dienste ermöglicht. Wenn zum Netzwerk ein Dienst hinzugefügt wird, registriert sich der Dienst mithilfe von SLP im Netzwerk. SLP DA nutzt ein zentralisiertes
Repository für registrierte Netzwerkdienste.
SMB Server Message Block. Ein Protokoll, das Client-Computern den Zugriff auf Dateien
und Netzwerkdienste ermöglicht. Es kann über TCP/IP, das Internet und andere Netzwerkprotokolle genutzt werden. SMB-Dienste stellen über SMB Zugriff auf Server, Drucker und
andere Netzwerkressourcen bereit.
SSL Secure Sockets Layer. Ein Internet-Protokoll, das das Senden verschlüsselter authentifizierter Informationen über das Internet ermöglicht. Neuere Versionen von SSL sind
unter der Bezeichnung TLS (Transport Level Security) bekannt.
Suchbeginn Ein Name, der angibt, wo die Suche nach Informationen in einer Hierarchie
mit Einträgen in einem LDAP-Verzeichnis beginnt.
Suchpfad Eine Liste von Verzeichnis-Domains, die von einem Mac OS X-Computer, der
Konfigurationsinformationen benötigt, durchsucht werden. Bezeichnet auch die Reihenfolge, in der Domains durchsucht werden. Wird manchmal als Suchpfad bezeichnet.
Suchrichtlinie Vgl. Suchpfad. 310 Glossar Ticket für die Ticketverteilung Ein spezielles Kerberos-Ticket, mit dem ein Client Tickets
für Dienste im selben Realm anfordern kann. Ein Client erhält ein Ticket für die Ticketverteilung durch Bestätigung der Identität, etwa durch Eingabe eines gültigen Namens und
Kennworts bei der Anmeldung.
Ticket, Kerberos. Ein temporärer Berechtigungsnachweis, der die Identität eines
Kerberos-Clients gegenüber einem Dienst bestätigt.
Übergeordneter Computer. Ein Computer, dessen freigegebene Verzeichnis-Domain
Konfigurationsinformationen für andere Computer bereitstellt.
Untergeordneter Computer. Ein Computer, der Konfigurationsinformationen aus der
freigegebenen Verzeichnis-Domain eines übergeordneten Computers erhält.
Vertrauenswürdige Bindung. Eine gegenseitig identifizierte Verbindung zwischen
einem Computer und einer Verzeichnis-Domain. Der Computer stellt Zertifikate zur
Bestätigung seiner Identität bereit und die Verzeichnis-Domain gibt ebenfalls Zertifikate zur Bestätigung ihrer Identität an.
Verwaltete Einstellungen. System- oder Programmeinstellungen, die unter administrativer Kontrolle sind. Mithilfe des Arbeitsgruppenmanagers können Administratoren die
Werte bestimmter Systemeinstellungen für verwaltete Mac OS X-Clients festlegen.
Verwalteter Client. Benutzer, Arbeits-/Benutzergruppe oder Computer, dessen/deren
Zugriffsrechte und/oder Einstellungen unter administrativer Kontrolle sind.
Verzeichnis-Domain. Eine spezialisierte Datenbank, in der Berechtigungsinformationen
über Benutzer und Netzwerkressourcen gespeichert werden, die von der Systemsoftware
und den Programmen benötigt werden. Die Datenbank ist für die gleichzeitige Bearbeitung zahlreicher Anfragen sowie das schnelle Suchen und Abrufen von Informationen
optimiert. Wird auch als Verzeichnisknoten oder einfach als Verzeichnis bezeichnet.
Verzeichnis-Domain-Hierarchie. Methode zur Verwaltung lokaler und freigegebener
Verzeichnis-Domains. Eine Hierarchie hat eine umgekehrte Baumstruktur mit einer
root-Domain auf der obersten und lokalen Domains auf den unteren Ebenen.
Verzeichnisdienste. Dienste, die der Systemsoftware und Programmen einheitlichen
Zugriff auf Verzeichnis-Domains und andere Informationsquellen zu Benutzern und
Ressourcen ermöglichen.
Verzeichnisknoten. Vgl. Verzeichnis-Domain.
WebDAV. (Web-based Distributed Authoring and Versioning.) Eine Live-AuthoringUmgebung, in der Client-Benutzer Webseiten abrufen, Änderungen daran vornehmen
und sie wieder zurückstellen können, während die Website aktiv ist.
WebDAV-Bereich Bereich (Realm) einer Website, normalerweise ein Ordner oder Verzeichnis, der/das für den Zugriff durch WebDAV-Benutzer und -Gruppen definiert ist. Glossar 311 A
Accounts
Administrator 97, 197
root 141, 142, 238
Vgl. auch Arbeitsgruppenmanager, BenutzerAccounts, Gruppen-Accounts,
Mobile Accounts
ACEs (Access Control Entries) 86
acl, Attribut 276
acl, Objektklasse 255
ACLs (Access Control Lists) 46, 85, 86, 207
Active Directory
Administratorgruppen 197
Benutzer-IDs 194
Benutzerordner 187, 192
bevorzugte Bestimmung 197
Bindung 190, 199
zum Server lösen 199
Client-Verbindungen 139
Datensätze bearbeiten 200
Definition 28
Dienst
aktivieren 154
deaktivieren 154
Domain-übergreifende Identifizierung 80
erweiterte Einstellungen 154, 185
Fehlerbeseitigung 237, 240
Gruppen-IDs 195, 196
Identifizierung 198
Kerberos-Konflikte 82
LDAP-Zugriff 200
mobile Accounts 187, 191
Open Directory-Konfiguration 70
Serverkonfiguration 110
UNIX-Shell-Attribut 193
zugreifen 188
Vgl. auch Zuordnungen
Administrator
Accounts 97, 197
Berechtigung zur Identifizierung 99, 101, 106,
132, 133
Domains planen 41
Einschränkungen 258 Index Index Kennwörter 52, 127, 128, 238, 243
Kerberos 54, 112
Suchpfade 41
Verzeichnisdienste 21
Zugriffsrechte 86, 87
Zugriffssteuerung 86, 207
Adressbuch 43, 149, 156
Adressen. Vgl. Ethernet-ID, IP-Adressen, NAT
Aktivieren
automatisches 27, 255, 277
Aktivierungspunkt-Eintrag, Typ 147, 148
Anmeldebild 258
Anmeldung
Anmeldebild 258
Benutzeranleitungen 98
beschleunigen 74
Fehlerbeseitigung 239
fehlgeschlagene Versuche 211
Kennwörter 48
mobile Accounts 77
Verzeichnis-Domains 26, 72
Windows-Konfigurationsberechtigung 99
Zugriffssteuerung 206
APOP (Authenticated POP) 60, 64
Arbeitsgruppenmanager
Benutzer-Accounts löschen 215
Detailansicht 212, 213, 214, 215
Funktionen 90
Identifizierungsfunktion 119
LDAP-Verzeichnisse 184
und Open Directory 22
Verzeichnisdaten bearbeiten 212
Attribute
acl 276
Active Directory 196
authentication 273
automount 277
Benutzer 295, 299
Computer 302
computer 270
Computergruppe 303
computerlist 270
Configuration 182, 304 313 configuration 271
contact information 261
Einführung 28
group 263
hinzufügen 82, 174
Identifizierung 50, 135, 215, 259, 273
importieren 217
LDAP 172
location 274
Machine 266
Mount 303
mount 267
neighborhood 275
passwords 271
Printer 258
printer 269
replication 272
resource 276
schema 276
service 271, 274
service-url 271
standard 294
TTL 256
UNIX-Shell 193
user 256, 273
Verzeichnis 186
Verzeichnisdienste 174
xmlplist 271
Vgl. auch Zuordnungen
Attribute zur Berechtigung der Identifizierung 50,
135, 215
augment, Objektklasse 255
Ausfallumschaltung
BDC 35, 98, 105, 225
Konfiguration 106
Lastausgleich 76
PDC 35
authentication, Attribute 273
authentication authority, Objektklasse 253
authentication authority-Attribute 273
automount, Attribut 277
automount, Objektklasse 255
Autorisierung
Vgl. auch Identifizierung
AutoServerSetup, Datensatztyp 293 B
Backup-Domain-Controller. Vgl. BDC
Basic Authentication. Vgl. Crypt-Kennwörter
BDC (Backup-Domain-Controller) 35, 98, 105, 225
Befehlszeilenprogramme
Änderungen am Kurznamen 216
Benutzer oder Computer löschen 215
Kennwörter 128, 132
Server wiederherstellen 231, 233
SSH 206 314 Index Überblick 90
Verzeichniskonfiguration 186
Benutzer
Anmeldung 98, 258
Datensatztypen 290
Domain-übergreifende Identifizierung 80
exportieren 134
Fehlerbeseitigung bei der Identifizierung 238,
239, 240, 242
identifizieren 46, 51, 53, 114
Migration 136
Speicher für Einstellungen 27
Verwendungsmöglichkeiten für VerzeichnisDomains 26, 30, 31
Vorteile von Verzeichnisdiensten 21
Windows 33, 34, 99
Zugriffsrechte 87, 180, 184
Zugriffssteuerung 186, 205, 206, 238
Zuordnungen 183, 194, 278, 290
Vgl. auch Arbeitsgruppenmanager, BenutzerAccounts, Benutzerordner, Clients
Benutzer und Gruppen finden
Vgl. auch Suchen
Benutzer-Accounts
bearbeiten 200
Benutzernamen 97
exportieren 134
importieren 134, 216
Kennwörter 64, 238
löschen 215
root 141, 142, 238
Sicherheit 49
suchen 30, 31
Verzeichnis-Domains 68, 82, 94
zugreifen 186
Vgl. auch Benutzer, Gruppen-Accounts,
Kennwörter
Benutzername 97
Benutzerordner
Active Directory 187, 192
group-Attribute 263
lokaler Benutzer 192
Netzwerk 192
user-Attribute 256, 259, 263
Verwendungsmöglichkeiten für VerzeichnisDomains 27
Berechtigung 46, 80, 85, 86, 87, 207
Berechtigungen
gestufte Verwaltung 87
Ressourcentyp 208
Zugriff 207
Berkeley DB 11, 71
Berkeley Software Distribution. Vgl. BSD
Bindung
Active Directory 199
LDAP-Identifizierung 64, 133, 160, 179 Open Directory-Server 217
Verzögerungszeit bis zu erneutem
Verbindungsversuch 179
Vgl. auch Vertrauenswürdige Bindung
BSD-Dateien (Berkeley System Distribution) 28, 203,
204 C
Client-Computer
Aktivierungspunkt-Einträge 147, 148
Ausfallumschaltung 106
BSD-Dateien 28, 203, 204
konfigurieren 138, 139, 145, 146
Netzwerkordner 27
NIS 28, 202
Open Directory-Unterstützung 72
Suchpfade 40, 149, 150, 151, 152, 153
Verbindungen 72, 137, 139, 140, 141
Vgl. auch Verzeichnisdienste
Clients, Identifizierung 55, 58
Vgl. auch Benutzer, Client-Computer,
Gruppen-Accounts
Computer
löschen 215
Replikverbindungen 104
Suchpfade 42, 43
Zeitsynchronisierung 112
Vgl. auch Client-Computer
computer group, Objektklasse 252
computer lists, Zuordnungen 285, 286, 289
Computerattribute 302
computer, Attribute 270
computer, Objektklasse 250
Computergruppenattribute 303
computerlist, Attribute 270
computerlist, Objektklasse 250
Computername 99, 106, 134, 176
computers, Zuordnungen 284
Config, Datensatztyp 182, 286
configuration, Attribute 271, 304
configuration, Objektklassen 251
contact information, Attribute 261
container, Objektklasse 247
Controller, BDC 35, 98, 105, 225
Vgl. auch PDC
CRAM-MD5, Identifizierung 60
Crypt-Kennwörter
ändern 125
Benutzer-Account-Migration 135
Definition 48
Sicherheitsprobleme 50
Verschlüsselung 50, 51
Windows-Beschränkungen 34, 48 Index D
DACs (Zugriffssteuerung für Verzeichnisdienste) 213
Dateidienste
Identifizierung 60
Netzwerkordner 27, 147
NFS 147, 148
SMB 33, 60
Dateien
BSD 28, 203, 204
Eigenschaftsliste 236
UNIX-Konfiguration 23, 25, 28
Zugriffssteuerung 27
Datenbanken
Berkeley DB 11, 71
LDAP 220
Open Directory-Kennwortserver 62, 64
Datensätze
Active Directory bearbeiten 200
Standardtypen 294
zu Verzeichnisdiensten zuordnen 174, 182, 183
Denial-of-Service-Angriff 52
Detailansicht 212, 213, 214, 215
DHCP-Dienst (Dynamic Host Configuration Protocol)
LDAP 41, 150, 156
mobile Accounts 153
Option 95 41, 218
Sicherheit 153
DHX, Identifizierung 48, 60
Digest-MD5, Identifizierung 60
DN (Distinguished Name) 30
DNS-Dienst (Domain Name System)
Attribute 274, 275
Kerberos 95, 112, 114, 236
Open Directory-Konfiguration 95, 114
Windows-Benutzer 99
Dokumentation 16, 17, 18
Domain Name System. Vgl. DNS
Domains, Verzeichnis
Bindung 217
Suchpfade 149, 150, 151, 153
Vgl. auch LDAP, Lokale Verzeichnis-Domains,
Open Directory, Windows-Domain
Domain-übergreifende Identifizierung 80
DoS-Angriff (Denial-of-Service) 221
dsconfigad, Programm 186
dsconfigldap, Programm 186
Dynamic Host Configuration Protocol. Vgl. DHCP E
Eigenschaftslistendateien 236
Eigenständiger Verzeichnisdienst
Vgl. Lokale Verzeichnis-Domains
Einträge
DAC-Einstellungen 213
Einführung 28 315 für Kerberos aktivieren 242
für Zugriffssteuerung. Vgl. ACEs
importieren 216
löschen 214, 215
Verzeichnis-Domain-Kapazität 71
zu Schemata hinzufügen 82
Vgl. auch Attribute, Zuordnungen
Einträge, Objektklasse 28, 30
Entfernte Server 93, 146, 206
Ethernet-ID 242 F
Fehlerbeseitigung
Active Directory 237
Identifizierung 235, 238, 239, 240, 242, 243
Replikation 235, 236, 237
Verbindungen 237
Finden von Benutzern und Gruppen 30, 31
Firewall-Dienst 85
Firewalls, Beschränkungen 55 G
Gemeinsam genutzte Verzeichnis-Domains
Benutzerinformationen 94
Einführung 30, 31
Fehlerbeseitigung bei der Anmeldung 239
NetInfo 35, 125, 136
planen 67, 68
Server angeben 72
Suchpfade 38, 40
Vgl. auch LDAP
Gesamtauthentifizierung 52, 55, 56, 82
Vgl. auch Kerberos
Gestufte Verwaltung 87
GID (Gruppen-ID) 80, 186, 195, 196
Globale Kennwortrichtlinie 127
Globally Unique Identifier. Vgl. GUID
group, Attribute 263
group, Objektklasse 248
Gruppen
Attribute 300
Beitritt zu Kerberos-Realm 116
gestufte Verwaltung 87
Speicher für Informationen 27
suchen 30, 31
Zugriffssteuerung 206
Zuordnungen 195, 282, 289, 290
Gruppen-Accounts
als Administratoren 197
GID-Zuordnungen 195
Gruppen-ID 186, 196
importieren 216
Vorgaben 252, 289, 290
Vgl. auch Gruppen
Gruppen-ID Vgl. GID
GUID (Globally Unique Identifier) 216 316 Index H
Hilfe verwenden 15 I
Identifizieren
Benutzer 46, 51, 53
Identifizierung
Active Directory 198
Administrator 99, 101, 106, 132, 133
Attribute 50, 135, 215, 259, 273
Bindung 64, 133, 160
Clients 55, 58
Dateidienste 60
Definition 46
Fehlerbeseitigung 235, 238, 239, 240, 242, 243
im Cache 48
LDAP 64, 133, 160, 181, 182
Methoden 48, 60, 61, 62, 64, 108
Open Directory-Master 34, 113
Replikation 73
SASL 12, 60
Server 56, 85
Suchpfade 43, 149
über Zertifikate 47, 55
Überblick 12, 23, 45, 119
überwachen 211
Verzeichnis-Domains 26, 71
Vgl. auch Kennwörter, Kerberos
Identifizierungsmanager 35, 48, 136
Importieren
Attribute 217
Benutzer 134, 216
Einträge 216
Gruppen 216
IP-Adressen 95, 140
IP-Firewall-Dienst 85 K
Kaskadierende Replikation 71, 74, 76, 105
Kennwörter
Administrator 52, 127, 128, 238, 243
Benutzer-Accounts 238
bewährte Maßnahmen 49
erstellen 120, 134, 135
exportieren 134
Fehlerbeseitigung 238, 239, 242
im Vergleich mit Gesamtauthentifizierung 52
importieren 134
LDAP 182
Migration 135
Open Directory 47, 48, 49, 51, 60, 106, 123, 131
Prüfsumme (Hash) 47, 61, 63
Repliken 73
Richtlinien 45, 51, 127, 128, 259
root-Account 142 Typen 46, 47, 48, 123, 125
Windows-Domain 34, 48, 50, 51
zurücksetzen 61, 122, 243
Vgl. auch Crypt-Kennwörter, Open DirectoryKennwortserver, Shadow-Kennwörter
Kennwortserver. Vgl. Open Directory-Kennwortserver
Kerberos
Ablauf der Identifizierung 58
Administrator 54, 112
aktivieren 127, 242
Attribute 273
beitreten 116, 118
Benutzer 53, 114
DNS 95, 112, 114, 236
Domain-übergreifende Identifizierung 80
Fehlerbeseitigung 235, 240
Funktionen 12, 47, 52, 53, 54, 55, 56, 57
Identitäten löschen 215
Kennwörter 52
Konfiguration 112, 113, 114, 118
LDAP 81
Prinzipale 58
Realms 58, 118, 242
Replikation 73
Sicherheit 55, 56, 231
Verzeichnis-Domain-Konflikte 82
Konfiguration
Ausfallumschaltung 106
Befehlszeilenprogramme 186
BSD-Dateien 203, 204
Client-Computer 138, 139, 304
Domain-übergreifende Identifizierung 80
Kerberos 112, 113, 114, 118
LDAP 158, 161, 164, 166, 168
lokale Verzeichnis-Domain 94
Open Directory
Kennwortserver 95
Master 95, 98
Replik 102, 104, 105
planen 70
Replikgruppen 74
Server 109, 110, 293
Überblick 91, 93
UNIX-Dateien 23, 25, 28
Verbindung 107, 109, 110, 140, 141
vertrauenswürdige Bindung 175
Verzeichnisdienste 145, 146
Verzeichnis-Domain, Übersicht 68
Windows-Domain 98, 100, 101
Kontakte, Suchpfade 43, 149
Kurzname 215 Index L
Langname 264, 272
Vgl. auch Benutzername, Kurzname
LAN-Manager, Identifizierung 48, 60
Lastenverteilung 70, 76
LDAP-Dienst (Lightweight Directory Access Protocol)
Active Directory 200
Administratoranforderung 99
aktivieren 154, 156
Befehlszeilenprogramme 186, 215
Benutzerrechte 87, 180, 184
deaktivieren 154, 156
Definition 28
DHCP 41, 150, 156
direkter Zugriff auf 150
erweiterte Einstellungen 155
Fehlerbeseitigung 237, 241
Identifizierung 64, 133, 160, 179, 181, 182
Kerberos 81
Konfiguration 104, 158, 161, 164, 166, 168
Mac OS X 184
Mail 156
NetInfo, von NetInfo migrieren 35, 136
Open Directory 11, 246, 247
Replikation 73
Schemata 246, 247
schreibgeschützter Zugriff 180
Serververweise 180
Sicherheit 46, 121, 170, 182, 218, 221, 222
Speicherort der Datenbank 220
Struktur 29
suchen 30, 97, 172, 221, 241
Suchpfade 41
Verbindungseinstellungen 107, 177, 178, 179
Zeitlimits 178, 179, 221
Vgl. auch Attribute, Objektklassen, Vertrauenswürdige Bindung, Zuordnungen
ldapmodrdn, Befehl 216
ldapsearch, Befehl 183
LDAPv2-Zugriff 180
LDAPv3-Zugriff 87, 104, 155, 158, 200
Leopard Server. Vgl. auch Mac OS X Server
location, Attribute 274
location, Objektklasse 254
Locations, Datensatztyp 294
lokale Benutzerordner 192
Lokale Verzeichnis-Domains
Aktivierungspunkt-Einträge 147, 148
Einführung 29, 30
Kennworttypen 46, 48
Konfiguration 94
planen 68
Suchpfad 37, 40, 41, 152
Windows-Benutzer 34 317 M
Mac OS X
BSD-Dateien 203, 204
Fehlerbeseitigung bei der Anmeldung 239
Open Directory-Kennwörter 47
schreibgeschützter LDAP-Zugriff 184
Verzeichnisse füllen 184
Mac OS X Server
aktualisieren 78, 136
BDC 35
BSD-Dateien 203
Datensätze importieren 216
Kennwortmigration 135
Open Directory-Master wiederherstellen 232
Probleme bei Ausfallumschaltung 107
unterstützte Identifizierungsmethoden 34, 52, 53,
61, 108
Verbindungen hinzufügen 140
vertrauenswürdige Bindung 218
machine, Attribute 266
machine, Objektklasse 249
Mail-Dienste 27, 60, 156, 257
Medienzugriffssteuerung. Vgl. Ethernet-ID
Migration, Kennwort 135
Mobilcomputer, Suchpfade 42, 43
Vgl. auch Mobile Accounts
Mobile Accounts
Active Directory 187, 191
Anmeldung 77
Kennwortrichtlinien 52, 128
LDAP 153
Suchpfade 42, 43
VPN-Dienst 77
mount. Attribute 267, 303
mount, Objektklasse 249
Mount-Datensatztyp 283, 303
MS-CHAPv2, Identifizierung 60, 108 N
Name (DN) 160
Namenskonventionen
Benutzername 97
Computername 99, 106, 134, 176
Kurzname 215
Langname 264, 272
NAT (Network Address Translation) 77
neighborhood, Attribute 275
neighborhood, Objektklasse 254
NeST, Befehl 132
NetBIOS-Name 106
NetInfo-Domains 35, 125, 136
Network Address Translation. Vgl. NAT
Network File System. Vgl. NFS
Network Information Service. Vgl. NIS
Network Time Protocol. Vgl. NTP 318 Index Netzwerk-Benutzerordner 192
Netzwerkdienste
IP-Adressen 95, 140
IP-Firewall-Dienst 85
NAT 77
VPN 60, 77, 238
Vgl. auch DHCP, DNS
Netzwerke
Client-Verbindungen 72, 137, 139, 140, 141
Fehlerbeseitigung 237
Kerberos-Realm 242
Konfiguration 107, 109, 110, 140, 141
LDAP-Verbindungen 107, 177, 178, 179
öffentlich 77
privat 77
Replikverbindungen 104
verwaltete Ansichten 27
Netzwerkordner 27, 147
Netzwerkordner automatisch aktivieren 27
NFS (Network File System) 147, 148
NIS (Network Information Service) 28, 202
NTLM, Identifizierung 48, 60, 108
NTP (Network Time Protocol) 240 O
Objektklassen
acl 255
augment 255
authentication authority 253
automount 255
computer 250, 251
computer group 252
computerlist 250
configuration 251, 254
container 247
Einführung 28
group 248, 252
location 254
machine 249
mount 249
neighborhood 254
printer 249
resource 255
service 254
TTL 247
Überblick 247
user 248, 253
zu Schemata hinzufügen 81
Vgl. auch Attribute
Öffentliches Netzwerk 77
Offline-Angriffe 49
Open Directory
aktivieren 94
Arbeitsgruppenmanager 22
BDC 35, 105 Bindungsrichtlinie 217
Client-Computer-Unterstützung 72
Daten
anzeigen 212
bearbeiten 212, 213, 214, 215
Detailansicht 212, 213, 214
DNS-Konfiguration 95, 114
eigenständiger Dienst 94
Einstellungen für Optionen 217
entfernte Server 93
Funktionen 22
Kerberos 12, 47, 82
Konfiguration 70, 91, 93
LDAP 11, 246, 247
Leistungsoptimierung 84
PDC 33, 98, 100, 101
pflegen 205
Replikation 224
Sicherheitsrichtlinie 218
SMB-Dienste 33
Status überprüfen 209, 210
Übersicht 11, 21
überwachen 209, 210, 211
Verbindungskonfiguration 107, 109, 110, 140
Versionen 23, 25
Verwaltungsprogramme 88, 89, 90
Verwendungsmöglichkeiten 26
Werkzeuge für Zugriff 28, 205, 206, 207, 208
Vgl. auch Active Directory, Domains, Verzeichnis,
Zuordnungen
Open Directory-Kennwortserver
archivieren 231
Datenbank 62, 64
Fehlerbeseitigung 239
Identifizierung 34, 47, 60
Kennwortrichtlinie 52
Konfiguration 95
Replikation 73
Sicherheit 85
Slots löschen 215
Open Directory-Master
aktualisieren 78
archivieren 230, 232
Ausfallumschaltung 106
Bindung 217
Definition 73
DNS 95, 114
Einführung 29
Fehlerbeseitigung 235, 236, 237
Identifizierung 34, 113
Kennwörter 121
Konfiguration 95, 98
Repliken 71, 75, 76, 77, 78, 96, 224, 225, 226, 229
Sicherheitsrichtlinie 218
Status überprüfen 210
wiederherstellen 231 Index Open Directory-Replik
aktualisieren 84
Attribute 272
Ausfallumschaltung 106
BDC 35
bereitstellen 103
deaktivieren 229
Einführung 12, 29
Fehlerbeseitigung 235, 236, 237
Identifizierung 73
in Relais ändern 226
Kennwörter 73, 121
Konfiguration 102, 104, 105
Master 71, 75, 76, 77, 78, 96, 224, 225, 226, 229
NAT 77
Replikgruppen 74
Synchronisierung 225
Umwandlung 226
Zugriffssteuerung 102
OpenLDAP. Vgl. Open Directory
Open-Source-Module 11
Vgl. auch Kerberos, Open Directory
Option 95, DHCP 41, 218
Optionen für Verzögerung eines erneuten Verbindungsversuchs, LDAP 179
Ordner, Zugriffssteuerung 27
Vgl. auch Benutzerordner, Dateien P
PAC (Privilege Attribute Certificate) 80
Pakete, Daten 186
passwords, Attribute 271
PDC (Primärer Domain-Controller)
Ausfallumschaltung 35
Open Directory als 33, 98, 100, 101
Serverkonfiguration 109
Zeitplan der Replikation 224
People, Datensatztyp 287, 288
Plug-Ins 11, 186
Ports
Replikation 229
Verzeichnis-Domain-Server 85
ports
service-Attribut 274
preset computer group, Objektklasse 252
preset computer list, Objektklasse 251
preset computer, Objektklasse 251
preset group, Objektklasse 252
preset user, Objektklasse 253
PresetComputerLists, Datensatztyp 289
PresetGroups, Datensatztyp 289, 290
presetUser-Attribut 273
PresetUsers, Datensatztyp 290
Primärer Domain-Controller. Vgl. PDC
printer, Attribute 258, 269 319 printer, Objektklasse 249
Printers, Datensatztyp 292
Prinzipale, Kerberos 58
Privates Netzwerk 60, 77, 238
Privilege Attribute Certificate. Vgl. PAC
Probleme. Vgl. Fehlerbeseitigung
Programm „Server-Admin“ 88
Protokolle
NTP 240
Open Directory 84, 210, 211
SMB 33
Vgl. auch DHCP, LDAP
Prüfsumme (Hash), Kennwort 47, 61, 63
Pseudo-Master-Server 80
pwpolicy, Befehl 128 R
RAID (Redundant Array of Independent Disks) 85
RDN (Relative Distinguished Name) 30
Realms. Vgl. Kerberos
RealName 172
Redundant Array of Independent Disks. Vgl. RAID
Relais 105, 226, 237
Relative Distinguished Name. Vgl. RDN
Replikation
kaskadierend 71, 74, 76, 105
mehrere Gebäude 76
Ports 229
Sicherheit 86
überwachen 210
untergeordnete Server 80
Verwaltung 224, 225, 226, 229
Verzeichnis-Domains 69
Vgl. auch Open Directory-Replik
resource, Attribut 276
resource, Objektklasse 255
Ressourcen
Zugriffssteuerung 208
Ressourcennutzung 27
Ressourcentyp
Berechtigungen 208
Zugriffssteuerung 208
RFC 2307-Zuordnung 163, 183, 195
root-Account 141, 142, 238 S
SACLs (Zugriffssteuerungslisten für Dienste) 46, 85,
207
SASL (Simple Authentication and Security Layer) 12,
60
Vgl. auch Open Directory-Kennwortserver
schema-Attribute 276
Schemata, Verzeichnis-Domain 29, 81, 82, 187, 245,
246, 247
Vgl. auch Attribute, Einträge, Objektklassen 320 Index Schreibgeschützter Zugriff, LDAP 180, 184
Secure SHell. Vgl. SSH
Secure Sockets Layer. Vgl. SSL
Server
angeben 72
bearbeiten 141
Bindung 217
lösen 199
entfernen 140
entfernter 93, 146, 206
hinzufügen 140
Identifizierung 56, 85
Kerberos-Realm-Verbindungen 118, 242
Konfigurieren 109, 110, 293
Ports 85
Pseudo-Master 80
Repliken bereitstellen 103
Sicherheitsrichtlinie 218
überwachen 141
untergeordnet 80
Verweise 180
wiederherstellen 231, 233
zugreifen 32, 206
Vgl. auch Open Directory
server assistant configuration, Objektklasse 254
Server Message Block. Vgl. SMB
Server-Admin 81
service, Attribute 271, 274
service, Objektklasse 254
Shadow-Kennwörter
ändern 126
deaktivieren 63
Definition 47
Funktionen 51
Identifizierungsmethoden 60, 130
Sicherheitsprobleme 49
Windows-Beschränkungen 34, 48
Sicherheit
Benutzer-Accounts 49
bewährte Maßnahmen 85
DHCP 153
Firewalls 55, 85
Identifizierungsmethoden deaktivieren 61, 62
Kerberos 55, 231
LDAP 46, 121, 170, 182, 218, 221, 222
root-Accounts 142
SASL 12, 60
Server-Sicherheitseinstellungen 218
SSL 65, 140, 222
Suchpfade 42
Zertifikate 80, 222
Vgl. auch Berechtigungen, Identifizierung,
Kennwörter
Simple Authentication and Security Layer. Vgl. SASL
Single Sign-on (SSO) 12
slapconfig, Programm 231, 233 SMB (Server Message Block), Protokoll 33, 60
SSH (Secure Shell Host) 86, 103, 206
ssh, Befehl 206
SSL (Secure Sockets Layer) 65, 140, 222
Start, Probleme 237
Suchbeginn, LDAP 30, 97, 173, 241
Suchen
Benutzer und Gruppen 30, 31
LDAP 30, 97, 172, 221, 241
Suchpfade
Administrator 41
ändern 153
angepasst 43
automatisch 41, 150
Computer 42, 43
Definition 37
eigene 151
erweiterte Einstellungen 149
Identifizierung 43, 149
Kontakte 43, 149
LDAP 41
lokal 152
Stufen 37, 38, 40
Suchrichtlinien
Definition 33
DHCP 153 T
Ticket-basierte Identifizierung 55
Vgl. auch Kerberos
time-to-live (TTL), Attribut 256
time-to-live (TTL), Objektklasse 247 U
UID (Benutzer-ID) 80, 97, 186, 194
Umstellung
NetInfo zu LDAP 35, 136
UNIX
Crypt-Kennwort 125
Gruppen-ID-Zuordnung 195
Konfigurationsdateien 23, 25
RFC 2307-Zuordnung 163
Sicherheitsprobleme 49
UNIX-Shell-Attribut 193
Untergeordneter Server 80
URL-Adressen (Uniform Resource Locator) 271
user, Attribute 256, 273, 295, 299
user, Objektklassen 248, 253 V
Verschlüsselung 50, 51, 60, 186
Vertrauenswürdige Bindung
Active Directory 190
Definition 157
Konfiguration 175 Index Optionen 160
Richtlinien 217
trennen 168, 177
Verwaltete Netzwerkansichten 27
Verweise, Server 180
Verzeichnisdienste 81, 89, 137
Administratoren 21
Attribute 174
Bereitschaft von Kerberos 113
erweiterte Einstellungen 146, 154
konfigurieren 145, 146
planen 41
Programm 145, 146
Steuerelemente. Vgl. DACs
Struktur 22
Verbindungsprobleme 237
Vorteile 21
Zugriff 154, 155
zuordnen 174, 182, 183
Vgl. auch Active Directory, Domains,
Open Directory
Verzeichnis-Domains
Identifizierung 26, 71
integrieren 80
NetInfo 35, 125, 136
Nicht-Apple-Domains 33
NIS 28, 202
planen 41, 67, 68, 93
Ports 85
Replikation 69
Schemata 29, 81, 82, 187, 245, 246, 247
Server angeben 72
Speicherkapazität 71
Struktur 22, 26, 28
Verzeichnisse.
Vgl. Domains, Ordner, Verzeichnisdienste
Verzögerungszeit bis zu erneutem Verbindungsversuch, LDAP 179
Vollständiger Name. Vgl. Langname
Vorlagen, LDAP-Zuordnung 174
VPN (Virtual Private Network) 60, 77, 238 W
WebDAV-Digest, Identifizierung 60, 64
Windows 2000-Konfiguration 101
Windows XP-Konfiguration 100
Windows-Domain
BDC 35, 98, 105
Kennwörter 34, 48, 50, 51
Open Directory-Konfiguration 98, 100, 101
PDC 33, 98, 100, 101
Vgl. auch Active Directory, SMB X
xmlplist-Attribute 271 321 Z
Zeitlimit
für Abfrage, LDAP 178
für Inaktivität, LDAP 179
für Öffnen/Schließen, LDAP 178
Zeitsynchronisierung 59, 73, 112, 240
Zertifikate 80, 222
Zugriff
ACLs 46, 85, 86, 207
Active Directory-Domains 188, 200
Administrator 86, 207
Anmeldefenster 206
Benutzer 186, 205, 206, 238
DACs 213
Datei 27
Gruppe 206
Ordner 27
Repliken 102
Ressourcen 208
Ressourcentyp 208
Server 32, 206
SSH 206
Verwendungsmöglichkeiten
für Verzeichnis-Domains 27
Verzeichnisdienst 154, 155
Vgl. auch Berechtigungen, LDAP 322 Index Zugriffsrechte
Administrator 87
Benutzer 87, 180, 184
Zugriffssteuerungslisten. Vgl. ACLs
Zugriffssteuerungslisten. Vgl. SACLs
Zuordnungen
Active Directory 187, 194, 195, 196
AutoServerSetup, Datensatztyp 293
Benutzer 194, 278, 290
computer lists 285, 286, 289
computers 284
Config, Datenatztyp 286
Gruppen 195, 282, 289, 290
LDAP 158, 161, 172, 174, 183
Locations, Datensatztyp 294
mounts 283
People, Datenatztyp 287, 288
printers 292
RFC 2307 163, 183, 195
Überblick 245
Verzeichnisdienste 174, 182, 183
Zweistufige Suchpfade 38 Source Exif Data:
File Type : PDF
File Type Extension : pdf
MIME Type : application/pdf
PDF Version : 1.5
Linearized : Yes
Page Mode : UseOutlines
XMP Toolkit : Adobe XMP Core 4.0-c316 44.253921, Sun Oct 01 2006 17:08:23
Producer : Acrobat Distiller 8.1.0 (Macintosh)
Modify Date : 2009:07:02 13:55:25-05:00
Creator Tool : FrameMaker 6.0
Create Date : 2008:03:10 14:39:24Z
Metadata Date : 2009:07:02 13:55:25-05:00
Document ID : uuid:f75a68b3-6014-4f3c-b0dd-f37cf5fd1736
Instance ID : uuid:9fb98f38-b2f2-6245-813f-cc9d40510e75
Format : application/pdf
Creator : Apple Inc.
Title : Open Directory – Administration
Description : Mac OS X Server 10.5 Leopard
Page Count : 322
Page Layout : SinglePage
Subject : Mac OS X Server 10.5 Leopard
Author : Apple Inc.
EXIF Metadata provided by EXIF.tools