平衡点

_ Mac OS X での LDAP 認証(1)

結論: はまっています.

• 認証はできる
• HomeDirectory が NFSHomeDirectory にマッピングされている.
  • ユーザ毎に $HOME は NFSHomeDirectory になっている
• NFSHomeDirectory を autofs でマウントすることは可能(?)
• SSH なんかでのリモートログインは問題無さげ.
• Desktop でログインすると, マウスカーソルがぐるぐると回った状況になったまま, 反応が無くなる.
  • /var/log/system.log にはエラー沢山
  • いきなり再起動かかったりする子もいたり.
• autofs での NFS マウントを止めると, $HOME が無い状態になる.
  • Desktop でのログインは可能.

はてさて. 以下, 簡単なメモ

Mac OS X を Client として, OpenLDAP サーバで認証をする

ログインオプションに「ネットワークサーバ」の欄があるので, 適宜設定すると良い. はまりポイントは以下

• ネットワーク環境は静的にしておき, サーバとクライアントが双方とも 正引き逆引きとも名前解決できるようにしておく.
• 時計は合わせよう
• 「共有」にあるホスト名を「ダイナミックグローバルホスト」に変更する. 上記をしておかないと, クライアントの FQDN が hostname.local になる模様
  • 「名前解決できない」ってエラーが大量に出て悩んだ.

• SASL auth を無効化しないといけないのだが, GUI の設定画面では選択できない しょうがないので, サーバが返す supportedSASLMechanisms を調べて無効化しておく. 例えば以下:

  sudo /usr/libexec/PlistBuddy -c \
    "add ':module operations:ldap:Denied SASL Methods:' string DIGSET-MD5" \
    /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.your-domain.local.plist

これで認証は問題無くなる. id コマンドなんかでユーザ名等は正しく返ってくるし, 認証も可能.

今後

• 単なるファイル共有として NFS を使用することはできるので, 多分 mount point の問題なのかな.
• あと, Mac OS X の mount_nfs には "--nfc" ってオプションがあるわけだが, これはどこまで信用して良いのかしら.
• OpenLDAP 関連は apple.scheme なんて奴があるわけだが, これ何だろうか?