カテゴリー
FreeBSD Mac

FreeBSD 10-R を OS X Server 3.0 の Kerberos に追加する

既に偉大な先達が OpenDirectory で FreeBSD/NetBSDを認証という記事を残されていたのですが、当時と比較すると OS X の Kerberos 実装が MIT Kerberos から Heimdal に変わったという事情もあるので敢えて記事にしてみるテスト。まぁ、違いは MIT Kerberos の kadmin で ktadd なところが Heimdal の kadmin では ext_keytab になりますよってだけのような気もしますが。

あ、正確には 10-R じゃなくて 10.0-RC5 だけど、誤差ってことでいいよね(笑

カテゴリー
Mac

OS X Server 3.0 の KerberosServices

我が家の OS X Server を Mavericks/OS X Server 3.0 にあげた時

Dovecot が GSSAPI で認証しない

と書いたように、 Mountain Lion/OS X Server 2.0 ではできてた SSO が出来なくなってました。もうしょんぼり。

で、ずっとそのままで放置してたんですが、別件で調べてた VMware の KB に Installing OS X 10.9 Mavericks as a guest operating system in VMware Fusion 6.0 (2056603) なんてのが公開されていることに気づきまして、 VMware Fusion に Mavericks/OS X Server 3.0 入れればいろいろ実験出来るんじゃね、とか思いついて試したのです。

カテゴリー
misc

OS X Server と Windows 8 で Kerberos

Windows 2000 を使っていた(=PC でゲームをやっていた)頃は NetBSD で動いてた Kerberos を使って Windows 2000 の認証をしていたので、 OS X Server で Kerberos を動かしてる以上は Windows 8 でも同じように認証をしたい、と頑張ることにしました。
OS X Server の Kerberos は Heimdal を Open Directory 対応にさせたものらしいのでちゃんと用意されている Configuring Windows to use a Heimdal KDC っつードキュメントに従ってさっくり…だけど若干ひっかかったので一応メモ。この情報を欲してた人がいたらお友達になりたいので Twitter で @ 飛ばすか矢文でご連絡ください :)

カテゴリー
Mac

誰かがわかるネットワークアカウント

Mail.app で SSO できない問題は、最初は解決しようと頑張るつもりだったんですが、 Mail.app 依存の問題と判明した時点で解決する気が失せました。

今分かってる問題は AltSecurityIdentities を書き換えちゃうと Mail.app で SSO 出来なくなる、というもの。なんで AltSecurityIdentities を書き換えたいかと言えば untitled_1@HYRULE.JP なんてダサい値が設定されているから。であれば解決策は真っ当な AltSecurityIdentities が設定される方法でネットワークアカウントを登録するに決まりでしょう(ホントかな…?)。

であれば実験あるのみ。

カテゴリー
Mac

Mail.app と Dovecot の Kerberos 認証のナゾ

Lion Server にはアカウントを登録する方法が無駄に豊富に用意されています。ざっと思いつくいたのを並べると

  • Workgroup Manager.app (Server Admin についてる)
  • Directory Utility.app (/System/Library/CoreService にある)
  • Server.app
  • System Preferences.app (システム環境設定ね)
  • dscl (コマンドライン)

という具合。

で、 Workgroup Manager.app を使ってネットワークアカウントを作成して使ってたんですが、ふと dscl を使って作ったアカウントを見てみたら

AltSecurityIdentities: Kerberos:untitled_1@HYRULE.JP

なんてダッサいことになっていたのです。 Workgroup Manager.app でアカウントを作ると最初に「名称未設定」が入ってるのですが、どーやらそれが残っちゃうのでしょうね。

カテゴリー
Mac

Open Directory 四苦八苦

なにが Open なんだかよくわからない Lion Server のディレクトリサービスですが、 Open LDAP + Heimdal + Apple Password Server の組み合わせ、を Open Directory と呼んでいるようです。メールサービスと同じように適当に GUI からほげほげとデフォルト値のまま弄っていけば、死ぬ程面倒な Open LDAP がすんなりと構成されるってところが素晴らしい。…そこから先が死ぬ程面倒なので商用ベースであればやっぱり AD 選択するのは必然だよねー。いや AD だって面倒なんだけどシェアがある分ノウハウも貯まっているいるからいいって話だけど。