Присоединение Mac OS к Samba PDC или OpenLDAP

В этом случае для всех нужны свои схемы для LDAP и следовательно свои параметры. Возникают вопрос, как это админстрировать?

Скриптами.

И ни слова о том, что за проблема.

Да, Вы правы. Как уже написал, нашел два варианта:

1. Mac, Nix работают напрямую c базой LDAP, win клиенты работают через самбу. 1.1 Проблема в том, что маки не подключаются напрямую к серверу OpenLDAP: Несмотря на удачное подключение через «Службу Каталогов», вход не выполняется. Как можно отследить, что не так?

1.2 Находил мануал, где добавлялась схема от Apple (/etc/openldap/apple.schema), однако ее добавить не получается - не хватает нужных индексов. Откуда их брать не знаю.

1.3 Про инструменты: Использую Gosa. Она добавляет учетные записи в систему,в самбу, работает с базой OpenLDAP. Раз необходимо будет вести свои данные для макинтошей, то получается нужен либо модуль для ГОсы, либо работать напрямую с базой LDAP, о чем, увы, я не имею никакого представления.

=========================================

2. Все клиенты работают через самбу (в роле домена). Макинтоши думают что они в среде Windows, поэтому мне кажется, не требуют дополнительных настроек.

2.1 Здесь обнаружил, что когда мак подключается к домену ему нужен Kerberos. Я, если быть честным, не совсем понимаю, как Керберос работает: он работает постоянно между самбой и клиентами или он работает только на аутентификацию? Вопрос в том, как настраивать его: привязать самбу к базе кербероса, а его самого к базе LDAP или же как-то по другому?

>Несмотря на удачное подключение через «Службу Каталогов», вход не выполняется.
Как подключаете, какая ошибка при попытке входа?

добавить не получается - не хватает нужных индексов. Откуда их брать не знаю.

Что за ошибка? Обычно поисковые индексы прописываете сами.

Здесь обнаружил, что когда мак подключается к домену ему нужен Kerberos.

Что за ошибка, как подключаете к домену?

Сейчас, ответ возможно будет неполным, ибо не на работе.

Несмотря на удачное подключение через «Службу Каталогов», вход не выполняется.

Как подключаете, какая ошибка при попытке входа

1. Когда подключался клиентом через Настройки-Пользователи-Присоединиться то получал ошибку:

«Unable to add server. An invalid attribute was provided (4200)» Служба каталогов: При вводе адреса сервера он определяет его как Unix (RFC 2307), и правильно определяет searchbase (по русски не помню правильный термин). Подключение осуществляется успешно, горит зеленый индикатор на странице пользователей. Однако попытки войти в систему сетевой учетной записи неудачны. В syslog на клиенте всплывает

Mon Jul 25 12:15:20 main DirectoryService[11] <Alert>: LDAPv3: \[server.example.com\] Updated Security Policies from Directory.

Mon Jul 25 12:15:20 main SecurityAgent[106] <Error>: User info context values set for test

Mon Jul 25 12:15:20 main authorizationhost[105] <Error>: Failed to authenticate user <test> (tDirStatus: -14090).

по этой ошибке ничего путнего не нашел.

3.>>Здесь обнаружил, что когда мак подключается к домену ему нужен Kerberos.

Что за ошибка, как подключаете к домену?

Когда через службу каталогов пытаюсь подключить к серверу как к AD, первое что получаю: Неправильный адрес сервера или леса. Введите полный FDQN - адрес.

В результате поисков нашел брошюру в которой говориться, о том что требуется Керберос, что подтвердил tcpdump, который выдал 3 dns запроса: _ldap._tcp.example.com, _kerberos._tcp.example.com. и еще один запрос тоже связанный с керберосом.

Его не устанавливал ибо еще не представляю как его связывать со всем этим.

2.>> Находил мануал, где добавлялась схема от Apple (/etc/openldap/apple.schema)

добавить не получается - не хватает нужных индексов. Откуда их брать не знаю.

Что за ошибка? Обычно поисковые индексы прописываете сами.

Возможно говорим о разных вещах и скорее всего я неправильно выразился.

Имел ввиду то, что когда пытался добавить сконвертированную схему

ldapadd -Y -H EXTERNAL ldapi:/// -f /tmp/apple.ldif