Active Directory ja Mac

[zooropa]

Ongelma: firman ainut Mac-kone (Mac Book Pro) ja pitäisi saada yhteys fiman Active Directoryyn koneelle kirjautumisen yhteydessä. Olen aivan noviisi mac-käyttäjä, joten pitäisi saada jotain helppiä alkuun pääsemiseksi.

Ideoita ja vinkkejä kaivataan!

[darthmother]

Ohjelmat/Lisäohjelmat/Hakemistopalvelut. Laita tuolta rasti ensin Active Directory kohtaan... tässä ainakin allkuun pääsemiseksi, joku muu auttaa lisää!?

[zooropa]

Yep, tuonne on nyt määritelty ad-palvelimen domainit, mutta jostain syystä en pääse muuttamaan "aktiivisen hakemistometsän" asetusta. Siinä lukee vain harmaalla "automaattinen". Applen sivuilta löydetyn dokkarin mukaan sitäkin pitäisi päästä muuttamaan.

[NOx]

harmaalla "automaattinen". Applen sivuilta löydetyn dokkarin mukaan sitäkin pitäisi päästä muuttamaan.

Onko sinulla ylläpito-oikeuksia Active Directoryyn jotta voit tehdä sidoksen?

[zooropa]

Onko sinulla ylläpito-oikeuksia Active Directoryyn jotta voit tehdä sidoksen?

Kyllä on oikat päällä

[NOx]

Kyllä on oikat päällä

No sitten, auttaako jos ensin määrittelisit Custom Search Pathin? En osaa näitä ulkoa kotimaisilla kielillä, mutta olisko se sitten xxxxx hakupolku.

http://docs.info.apple.com/article.html ... 7od17.html

Miksi muuten haluat vaihtaa forestin automaatilta pois? Usein automaatti toimii hyvin.

Nimipalvelinten kanssa pitää olla tarkkana. En tiedä miten on siellä järjestetty, mutta Macin pitää käyttää sitä nimipalvelinta jossa AD-palvelut nimetään. Kellokin olisi hyvä synkata samaan aikaan kuin serveri, jos serverissä on aikapalvelinkin käytössä niin käytä sitä.

Törmäät vaikeuksiin jos domain on nimetty .local-päätteiseksi kuten usein tehdään AD:n kanssa. Apple tahtoo väen väkisin käyttää .localia Bonjourin kanssa eikä suostu pyynnöistä huolimatta tästä luopumaan, melkoinen ristiriita. Voit yrittää tiputtaa Directory Accesissa Bonjourin pois, seurauksena on erinäisten iTunes-jakojen, Bonjour-tulostimien tunnistuksen yms. kuolema. Hällä väliä jos kone on ainoa Mac talossa.

[zooropa]

Törmäät vaikeuksiin jos domain on nimetty .local-päätteiseksi kuten usein tehdään AD:n kanssa. Apple tahtoo väen väkisin käyttää .localia Bonjourin kanssa eikä suostu pyynnöistä huolimatta tästä luopumaan, melkoinen ristiriita. Voit yrittää tiputtaa Directory Accesissa Bonjourin pois, seurauksena on erinäisten iTunes-jakojen, Bonjour-tulostimien tunnistuksen yms. kuolema. Hällä väliä jos kone on ainoa Mac talossa.

Tuossa taisi tulla vastaus tai ainakin toivon niin. Eli AD-palvelin on nimetty .local muotoon. Täytyy huomenna kokeilla töissä. Vai mitenköhän jatkossa, kun tuo kannettava on myös välillä kotona ja olen ajatellut hommata kotikoneeksi myös Macin (nämä ovat niin mahtavia, että haluan PC:stä kokonaan eroon!). Silloin tuo Bonjour olisi varmaan tarpeen. Kotona en taas sitten AD:ta tarvitse. Olisko ratkaisu sitten toinen käyttäjätili kotikäyttöä varten?

[NOx]

mahtavia, että haluan PC:stä kokonaan eroon!). Silloin tuo Bonjour olisi varmaan tarpeen. Kotona en taas sitten AD:ta tarvitse. Olisko ratkaisu sitten toinen käyttäjätili kotikäyttöä varten?

Onko käytössä kotikansiot serverillä? Jos ei ole niin ei tuo välttämättä ongelmaksi muodostu eikä välttämättä vaikka olisikin:

Hakemistopalveluista osa on sidottu (verkon) käyttöpaikkoihin, en nyt ole Macin äärellä joten en suoraan muista päteekö tämä myös Bonjouriin. Jos pätee niin tee käyttöpaikat kotia ja työpaikkaa varten. Kotona Bonjour on päällä ja töissä ei. Sitten vaan toivotaan että myös toimii.

Kotikansion voi myös vetää oman kovalevyn cacheen, silloin käytät samaa kotikansiota töissä ja kotona samalla tunnuksella. Paikallinen admin-tunnus sinulla kuitenkin on joten ohjelmien asennus yms. onnistuu AD-tunnuksista riippumatta.

Toisaalta ellet kotona tarvitsee samaa dataa kuin töissä niin oma tunnus kotikäyttöön on kelpo ratkaisu sekin. Tuo käyttöpaikan käyttö voi silti edelleen olla fiksu liikku. Täytyypä taas itsekin testailla mitä viimeaikaiset päivitykset ovat saaneet aikaiseksi.

[zooropa]

Hmm, ongelmat sen kuin jatkuvat. Miten tuo Bonjour kytketään pois päältä, sillä ainakaan hakemistopalveluiden kautta sitä ei voi "täpätä" pois.

Mikäköhän nyt neuvoksi? Osaako joku kertoa mitä asetuksia, muutoksia tms. pitäisi tehdä tuonne AD-palvelimeen? Tuskin sitä sen domainia (.local) voidaan muuttaa, mutta löytyisköhän jostain jotain kikkakolmosta, jolla tämä lähtisi pelittämään. Duunin kannalta kaikki oleelliset dokkarit ovat tuon AD:n takana hakemistoissa...

[NOx]

Mikäköhän nyt neuvoksi? Osaako joku kertoa mitä asetuksia, muutoksia tms. pitäisi tehdä tuonne AD-palvelimeen? Tuskin sitä sen domainia (.local) voidaan muuttaa, mutta löytyisköhän jostain jotain kikkakolmosta, jolla tämä lähtisi pelittämään. Duunin kannalta kaikki oleelliset dokkarit ovat tuon AD:n takana hakemistoissa...

Onhan koneesi määritelty DNS-palvelimella? .localkin voi toimia jos koneesi saa nimen tyyliin mac_station.local nimipalvelimelta eikä Bonjourilta. Mitä nimeä koneesi käyttää, sen näkee Järjestelmäasetukset -> Jako.

Useimmiten ongelmat AD:n kanssa ovat DNS-riippuvaisia. Tarkista DNS ainakin viiteen kertaan ennen kuin alat muuta ihmettelemään.

[zooropa]

Kone nimetty DNS-palvelimelle tyyliin mac-kone.DOMAIN.local, koska Windows Server pakotti tuon domainin tuohon väliin. Mutta edelleen kun yritän tehdä sidoksen, niin tulee herja että "Annettu domain- ja metsä-yhdistelmä ei kelpaa. Syötä hyväksyttävä DNS-nimi domainille ja metsälle (esim. ads.company.com)". Sidoksen yritän tehdä omilla tunnuksilla, kun olen tuolla AD-palvelimella myös admin.

Aktiivinen hakemistodomain mulla on nyt muotoa ADPALVELIN.DOMAIN.LOCAL (noin sen on määritelty myös Windows serverille). Onko tuossa kaikki ok? Vai riittääkö siinä esim. pelkkä ADPALVELIN.LOCAL

Voiko kohtaan "Suosi tätä domainpalvelinta" laittaa domainpalvelimen IP:n vai jotain muuta.

Oon yrittänyt vaikka mitä, mutta hermot tässä menee... Kiitos NOxille tähän astisesta avusta. Toivotaan, että tämä ratkeaa pian!

[NOx]

Kone nimetty DNS-palvelimelle tyyliin mac-kone.DOMAIN.local, koska Windows Server pakotti tuon domainin tuohon väliin. Mutta edelleen kun yritän tehdä sidoksen, niin tulee herja että "Annettu domain- ja metsä-yhdistelmä ei kelpaa. Syötä hyväksyttävä DNS-nimi domainille ja metsälle (esim. ads.company.com)". Sidoksen yritän tehdä omilla tunnuksilla, kun olen tuolla AD-palvelimella myös admin.

Aktiivinen hakemistodomain mulla on nyt muotoa ADPALVELIN.DOMAIN.LOCAL (noin sen on määritelty myös Windows serverille). Onko tuossa kaikki ok? Vai riittääkö siinä esim. pelkkä ADPALVELIN.LOCAL

Voiko kohtaan "Suosi tätä domainpalvelinta" laittaa domainpalvelimen IP:n vai jotain muuta.

Oon yrittänyt vaikka mitä, mutta hermot tässä menee... Kiitos NOxille tähän astisesta avusta. Toivotaan, että tämä ratkeaa pian!

Kysymykset: käyttääkö sidottava kone oikeasti palvelimella määriteltyä nimeä? Ei riitä että se määritellään, se pitää olla todellinen nimi jolla kone tunnistuu verkosta. Edelleen -> Järjestelmäasetukset -> Jako kertoo mikä on koneen nimi. Tai sitten pelkkä päätteen avaaminenkin. Varmuuden vuoksi kannattaa toiselta koneelta pingata sidottavaa työasemaa nimellä, siis ping mac-kone.domain.local.

Tee tämäkin, avaa Järjestelmäasetukset -> Verkko -> TCP-IP -> Search Domains ja lisää se AD-domain listalle ENSIMMÄISEKSI. Jos siellä mitään ylipäätään on. Siis pelkkä local ILMAN pistettä. Viimeistään tällä konstilla Tigerin Bonjour "localin" ja DNS localin pitäisi kyetä elämään yhdessä.

Tarkempi ohje:

http://docs.info.apple.com/article.html?artnum=107800

IP-osoitteita kannattaa välttää. DNS-nimet ovat terveempiä jos vaikka joutuu vaihtamaan osoitteita syystä tai toisesta, ei tarvitse kaikkea konffata uudelleen. Tappelu voi olla hirmuinen, mutta ellei DNS toimi niin joka tapauksessa voi tulla yllättäviä ongelmia jatkossa.

Kurkkaa myös tätä sivustoa ellei DNS-ongelmien ratkominen auta, (yleensä auttaa):

http://www.macwindows.com/AD.html[/code]

[zooropa]

OK. Kiitos taas. Täytyypä ehkä yrittää vkonloppuna piipahtaa töissä ja tehdä taas noiden ohjeiden mukaan.

[zooropa]

OK. Sidonta on nyt tehty ja kohdassa "Verkko" näkyy nyt uusi "kansio". Mutta ilmeisesti tuon kansion "takana" pitäisi olla ne jaetut verkkoresurssit, jotka tunnuksillani pitäisi olla saatavissa. Mutta se näyttäisi olevan tyhjä eli en vieläkään pääse käsiksi noihin AD:lla oleviin jaettuihin verkkolevyihin.

Miten tästä eteenpäin? Lähempänä ratkaisua ollaan varmasti taas!

[NOx]

OK. Sidonta on nyt tehty ja kohdassa "Verkko" näkyy nyt uusi "kansio". Mutta ilmeisesti tuon kansion "takana" pitäisi olla ne jaetut verkkoresurssit, jotka tunnuksillani pitäisi olla saatavissa. Mutta se näyttäisi olevan tyhjä eli en vieläkään pääse käsiksi noihin AD:lla oleviin jaettuihin verkkolevyihin.

Miten tästä eteenpäin? Lähempänä ratkaisua ollaan varmasti taas!

Kokeile yhdistää johonkin tietämääsi kansioon käsin eli omppu-k, naputtele polku alkaen smb://serveri/jako

Meneekö läpi ilman passwordin kyselyä?

Ellei mene, avaa System/Library/CoreServices/Kerberos.app. Näkyykö validi tiketti AD:lle?

DirectoryServices.log on hyödyllinen logi pohtiessa mikä menee pieleen. Yksinkertaisimmillaan kyse on vain SMB:n mount-ongelmasta.

[zooropa]

Kokeile yhdistää johonkin tietämääsi kansioon käsin eli omppu-k, naputtele polku alkaen smb://serveri/jako

Meneekö läpi ilman passwordin kyselyä?

Ellei mene, avaa System/Library/CoreServices/Kerberos.app. Näkyykö validi tiketti AD:lle?

DirectoryServices.log on hyödyllinen logi pohtiessa mikä menee pieleen. Yksinkertaisimmillaan kyse on vain SMB:n mount-ongelmasta.

Ei mene läpi eli kysyy heti käyttäjätunnusta ja salasanaa, joita se ei hyväksy. Täytyy tutkia tuo Kerberos.app

[zooropa]

Tuolla Kerberoksella ei näkynyt yhtään tikettiä. Kun loin uuden, niin se ehtotti heti oikean muotoista tikettiä, johon syötin sitten AD:n tunnuken ja salasanan. Silti tuonkaan jälkeen ei "mounttaus" onnistunut.

[NOx]

Tuolla Kerberoksella ei näkynyt yhtään tikettiä. Kun loin uuden, niin se ehtotti heti oikean muotoista tikettiä, johon syötin sitten AD:n tunnuken ja salasanan. Silti tuonkaan jälkeen ei "mounttaus" onnistunut.

Menee hankalaksi varsinkin kun ei ole tietoa miten AD on konfiguroitu. Suunnista osoitteeseen discussion.apple.com, siellä on monta auttajaa ja itsekin vastailen & kyselen myös tuolla. Tiger ja Networking on oikea foorumi.

Laitettiinko jo Direcotry Servicessä SMB:n työryhmä kohdalleen? Ellei laitettu niin tuuppaa sekin vielä oikeisiin asetuksiin sikäläisen verkon mukaan.

Directory Services voi ajoittain jumittua tällaisessa tilanteessa. Resetoi se poistamalla ensin sidos. Sitten mene kovalevyn juuren Kirjastoon ja sen Preferences-kansioon, etsi sieltä alikansio DirectoryService ja poista sieltä kaikki kohteet. Boottaa kone ja tee sidos uudelleen. Tällä poistuvat asetukset, suurin osa generoituu itse bootin jälkeen, mutta AD:n joudut sitomaan uudelleen.

Päätteellä:

cd /Library/Preferences/DirectoryService
sudo rm -r *
exit

[zooropa]

Nyt ollaan jo tosi lähellä... Ymmärsin vasta nyt, että koneelle pitää kirjautua sidoksen jälkeen noilla AD-tunnuksilla. Tuon jälkeen Kerberoksella näkyy validi tiketti. Määritin AD:lle omaan profiiliini Home folder-kohtaan Connect: X: \\Adpalvelin\käyttäjätunnus$, jonka jälkeen kun kirjauduin Macciin ad-tunnareilla Dockissa näkyy kysymysmerkki, jonka otsikkona on Käyttäjän XXX XXX verkkokotikansio. Tuo kysymysmerkki viitaa ilmeisesti siihen, että kotikansiota ei löydy.

Onko nyt neuvoa tuohon, miten tuo kotikansio AD:lle tulisi määritellä. PC:llä logatessa kotikansiot yms. määräytyvät Logon scripitin mukaan, joten tuota Home folderia ei ole asetettu. OSX kuitenkin ilmeisesti vaatii sen.

Kiitos taas NOxille suuresta avusta. Oon sulle vähintään bisset velkaa!

[dzeidzei]

Jos vastassa on Server2003 (siis se levyjako, jota yrität OSX:ään mountata), niin ei onnistu. OSX käyttää SMB-mountteihin Sambaa, joka ei osaa jutella Server2003:n kanssa kryptatusti. Tämän seurauksena käyttäjätunnu/salasana on mountatessa aina väärin.
Jotta tuo toimisi, pitää Serverin päässä tehdä muutoksia, jotka vaikuttavat tietenkin yleiseen tietoturvaan verkossa.

Katso tarkempi selostus oheisesta linkistä (sivun viimeinen kappale 'Windows Server 2003 Authentication')

http://guides.macrumors.com/Networking_ ... h_Mac_OS_X

[Simppa]

Mulla on hyvin samatapainen ongelma käsillä. Oonko ymmärtänyt oikein, että suorilla ip osoitteilla toi homma ratkeaa, eli ei ongelmia jos ei tartte dnssää?

[dzeidzei]

Ei ratkea suorilla osoitteillakaan. Kun se OsX ei kertakaikkiaan osaa hoitaa levyjen mappauksen autentikointia kryptatusti, niin kuin Windows sen haluaa.

Mac-clientin päässä tuoole siis ei voi yhtään mitään. Nuo Autentikoinnin kryptaukseen liittyvät muutokset on tehtävä siellä levyjä jakavan Windows-serverin päässä. Muuten ei homma toimi.

[zooropa]

Eli Windows serverin tietoturvaa on heikennettävä. Tuskin meidän it-osasto tuohon suostuu. Eikö tosiaankaan ole muuta ratkaisua kuin peukaloida Server 2003:sta? Yritin asentaa koeversiota AdmitMac-ohjelmasta (tai mikä se nyt olikaan), mutta se ei suostunut tässä MacBook Prossa toimimaan.

[dzeidzei]

Juu. Kyllähän se tietysti serverin tietoturvaa heikentää jos otetan salausta pois käytöstä. Tuota AdmitMac-ohjelmaa kehuttiin jossain keskustelussa (en kyllä muista missä) ja sen väitettiin pystyvän hoitamaan tuo autentikointi ilman serveripään muutoksia.

Ja mikäli tuo on totta, mitä sanovat itse sivuillaan (http://www.admitmac.com), niin se olisi ratkaisu. Näin he sanovat:

'Security - ADmitMac supports NTLMv2 and SMB signing. This allows ADmitMac to safely work with Microsoft’s latest offerings such as Windows Server 2003 “out of the box.” Tiger now supports NTLMv2 but without SMB signing'.

Miksi tuo AdmitMac ei sulla asennu?

[zooropa]

Miksi tuo AdmitMac ei sulla asennu?

Kyllä asentuu, mutta ohjelman asetuksien avustaja tms. ei jostain syystä löydä koko ohjelmaa asennuksen jälkeen.