Open Directory 四苦八苦

ごろ～    Mac     Kerberos, Lion Server, Mac, Open Directory

なにが Open なんだかよくわからない Lion Server のディレクトリサービスですが、 Open LDAP + Heimdal + Apple Password Server の組み合わせ、を Open Directory と呼んでいるようです。メールサービスと同じように適当に GUI からほげほげとデフォルト値のまま弄っていけば、死ぬ程面倒な Open LDAP がすんなりと構成されるってところが素晴らしい。…そこから先が死ぬ程面倒なので商用ベースであればやっぱり AD 選択するのは必然だよねー。いや AD だって面倒なんだけどシェアがある分ノウハウも貯まっているいるからいいって話だけど。

最初にハマったのは kerberos 。なんでかわかんないけど ldap と Password Server は動いてるのに kerberos だけが stopped になってしまう…。と悩んでいたらセットアップのときに realm だけをデフォルト値のホスト名からドメイン名に変更したんだけど、それがマズかったらしく、そこを変えた場合は下の LDAP 検索ベースを変えなきゃイケナイという話だったのでした。

次にハマったのがクライアントの設定。認証サーバーを選ぶところがあるんだけどそこで SSL を利用する、しないというオプションがあり、ちゃんと SSL 使ってるので利用するぜ、としていたんだけどそのあとに証明書を信用するかどうかっつーダイアログが出ていて、ちゃんととった証明書だしってことで信用していたんだけど、これを信用しないにしないとちゃんと設定ができない、という…。詳しくはアップル – サポートの「Lion Server：SSL を実行する Lion Open Directory サーバをバインドするときに「サーバの追加ができません」というメッセージが表示される」…ってちっとも詳しく書いてないし!!

さて、弄って初めて分かったことですが、Lion Server ではネットワークアカウントだろうがローカルアカウントだろうが、等しく  GeneratedUID と UniqueID が割り振られます。で、ネットワークアカウントとローカルアカウントの違いはデータがどこにストアされているかどうかだけ、なので GeneratedUID はたぶん大丈夫ですが、 UniqueID は所謂 uid なのでバリバリぶつかります。さらに、アカウント名は Windows と違ってネットワークアカウントとローカルアカウントの差がつけられません(命名規則を付ければいいんでしょうけど)。かといってローカルアカウントをネットワークアカウントに変更する方法は(今のところ)見つけられていないので今まで使っていたアカウントのまま Kerberos による SSO を実現するにはどーしたらいいのやら…。結局力技で対処したので別記事にします。

もう一つ、順調に Zombie プロセスが殺せないまま着々と増えていったので、仕方ないから再起動をかまそうとしたところ、再起動すらできなくなって電源ボタン長押しの強制シャットダウンを行ったところ、それを機に Open Directory が壊れたらしく、ローカルアカウントで入って Open Directory 再設定という楽しいイベントにも遭遇しました。…バックアップって大事! ということで Tutorial: Backup Your Open Directory Server Using Launchd を参考に毎日 Open Directory のバックアップも取るようになりました。結構前に書かれたっぽいページですが、 Lion Server でもちゃんとバックアップがとれているように見えます。リストアのテストやってないからわかんないけど!(笑)

以下おまけ

ローカルユーザー一覧

dscl . -list /Users

ローカルユーザー詳細

dscl . -read /Users/username

ローカルユーザー変更

dscl . -change /Users/username Attribute before after

ネットワークユーザー一覧

dscl /LDAPv3/127.0.0.1 -list /Users

ネットワークユーザー詳細

dscl /LDAPv3/127.0.0.1  -read /Users/username

ローカルユーザー変更

dscl -u directoryadminaccount /LDAPv3/127.0.0.1 -change /Users/username Attribute before after

Related posts:

1. Mail.app と Dovecot の Kerberos 認証のナゾ Lion Server にはアカウントを登録する方法が無駄に豊富に用意されています。ざっと思いつくいたのを並べると Workgroup Manager.app (Server Admin についてる) Directory [...]...
2. 誰かがわかるネットワークアカウント Mail.app で SSO できない問題は、最初は解決しようと頑張るつもりだったんですが、 Mail.app 依存の問題と判明した時点で解決する気が失せました。 今分かってる問題は AltSecurityIdentit [...]...
3. 摩訶不思議 iCal Server 最初に使いだした予定表は Palm だったものの、 Palm を使わなくなったタイミングで予定表自体を使わなくなっていました。 Palm に慣れすぎたせいか、パソコンにある予定表はあくまでバックアップというか、持ち歩けな [...]...
4. Open Directory と DHCP 前に dhcpd として動く bootpd と Dynamic DNS の連携ができない、と書いたのだけど、 Apple 様が考える名前解決の流れを理解したような気がするのでメモ。 きっかけは未練がましく...
5. automountable afp share point | 自動マウント可能な AFP 共有ポイント Lion Server を弄っていて試してみたかったのがホームフォルダをサーバー側に置くタイプのネットワークアカウント。有線で使ってる分にはありかなぁ、と思うのだけど我が家では基本無線 LAN なのでやる意味はないと思う [...]...

If you enjoyed this article please consider sharing it!