既に偉大な先達が OpenDirectory で FreeBSD/NetBSDを認証という記事を残されていたのですが、当時と比較すると OS X の Kerberos 実装が MIT Kerberos から Heimdal に変わったという事情もあるので敢えて記事にしてみるテスト。まぁ、違いは MIT Kerberos の kadmin で ktadd なところが Heimdal の kadmin では ext_keytab になりますよってだけのような気もしますが。
あ、正確には 10-R じゃなくて 10.0-RC5 だけど、誤差ってことでいいよね(笑
我が家の OS X Server を Mavericks/OS X Server 3.0 にあげた時に
Dovecot が GSSAPI で認証しない
と書いたように、 Mountain Lion/OS X Server 2.0 ではできてた SSO が出来なくなってました。もうしょんぼり。
で、ずっとそのままで放置してたんですが、別件で調べてた VMware の KB に Installing OS X 10.9 Mavericks as a guest operating system in VMware Fusion 6.0 (2056603) なんてのが公開されていることに気づきまして、 VMware Fusion に Mavericks/OS X Server 3.0 入れればいろいろ実験出来るんじゃね、とか思いついて試したのです。
FreeNAS にザセツしたので慣れた FreeBSD に net/netatalk3(これを書いてる時点では netatalk 3.1.0) を入れて TimeMachine Server にもなるファイルサーバーを作ったのでメモ。慣れた、とはいえ最近の FreeBSD は真面目に使ってないので俺としては結構新発見があって楽しいです。
MicroServer を買うときは FreeNAS を使うつもりだったんだけど、設定しようとしたら痒いところに手が届かせない作りだったのでやっぱり素の FreeBSD がいいや、ということで FreeBSD を使うことにしました。
が、
超苦戦したが、なんとか Open Directory 使って FreeNAS の認証通すことに成功。勝利の鍵は slapcat であった(← Base DN がわからなかっただけともいう
— Kiyono, Goro (@goro1080) December 28, 2013
苦戦した Open Directory の設定を記録しておかないのは勿体ないのと、どうせ FreeBSD でも同じことやると思うのでメモ。
書くだけ書いて公開するのを忘れていたので大分前の話ですが…。
Mavericks / OS X Server 3 にバージョンアップした時に
時間はかかったもののなんのトラブルもなくバージョンアップ自体は完了したのでした、バージョンアップ自体は。
とか書いたのでバチがあたったのかもですが
昨日 OS X Server 3.0.1 を当てたんだけど、それはそれとして Open Direcotry がお亡くなりになる現象が直らなくて泣きそう。 Data source (/LDAPv3/127.0.0.1) is not valid. って…。
— Kiyono, Goro (@goro1080) November 14, 2013
ということでよりによって Open Directory が不安定になってしまったのでした。メールの認証がアウトだったり sudo してもパスワードが違うとか怒られたり…。というかそもそも dscl でディレクトリの中身を確認しようとすると
$ dscl /LDAPv3/127.0.0.1 -list /Users Data source (/LDAPv3/127.0.0.1) is not valid.
ってどうしろと…
例によって我が家でしか起きてない可能性はあるんだけど、誰かの役に立つかもしれないので念のため記録。
OS X Server さんから「証明書の有効期限がまもなく切れます – flora.hyrule.jp コード署名証明書」てな警告メールが届くようになりました。
Windows 2000 を使っていた(=PC でゲームをやっていた)頃は NetBSD で動いてた Kerberos を使って Windows 2000 の認証をしていたので、 OS X Server で Kerberos を動かしてる以上は Windows 8 でも同じように認証をしたい、と頑張ることにしました。
OS X Server の Kerberos は Heimdal を Open Directory 対応にさせたものらしいのでちゃんと用意されている Configuring Windows to use a Heimdal KDC っつードキュメントに従ってさっくり…だけど若干ひっかかったので一応メモ。この情報を欲してた人がいたらお友達になりたいので Twitter で @ 飛ばすか矢文でご連絡ください :)
sieve.el で検索してるのに
次の検索結果を表示しています: sieve.jp
とか抜かす Google は滅びろ、割とマジで。
Mail.app で SSO できない問題は、最初は解決しようと頑張るつもりだったんですが、 Mail.app 依存の問題と判明した時点で解決する気が失せました。
今分かってる問題は AltSecurityIdentities を書き換えちゃうと Mail.app で SSO 出来なくなる、というもの。なんで AltSecurityIdentities を書き換えたいかと言えば untitled_1@HYRULE.JP なんてダサい値が設定されているから。であれば解決策は真っ当な AltSecurityIdentities が設定される方法でネットワークアカウントを登録するに決まりでしょう(ホントかな…?)。
であれば実験あるのみ。
Lion Server にはアカウントを登録する方法が無駄に豊富に用意されています。ざっと思いつくいたのを並べると
という具合。
で、 Workgroup Manager.app を使ってネットワークアカウントを作成して使ってたんですが、ふと dscl を使って作ったアカウントを見てみたら
AltSecurityIdentities: Kerberos:untitled_1@HYRULE.JP
なんてダッサいことになっていたのです。 Workgroup Manager.app でアカウントを作ると最初に「名称未設定」が入ってるのですが、どーやらそれが残っちゃうのでしょうね。