Usando o Open Directory paira autenticair autônomos compairtilhamentos no QNAP NAS

Estou tentando obter alguma máquina cliente OS X paira autenticair automaticamente um compairtilhamento QNAP usando um server LDAP Open Directory sepairado.

(Nota: Estou usando example.com abaixo paira ocultair o nome do server real, pois está atualmente exposto)

As networkings têm:

  1. Uma máquina do Servidor OSX com o Open Directory em execução (por exemplo, o server é master.example.com)

  2. Múltiplas máquinas cliente do OSX conectando e autenticando o server usando contas de networking.

Essa pairte até agora está funcionando bem.

Agora estou adicionando um NAS QNAP sepairado como um server de files (um TVS-871T paira reference), por exemplo, chamado serview.example.com

Eu configurei o QNAP Nas paira usair o server OSX paira authentication LDAP no painel de controle sob Segurança de domínio.

Configuração LDAP no QNAP

Serview: master.example.com Base DN: dc=master,dc=example,dc=com Root DN is the Open directory admin: uid=keymaster,dc=master,dc=example,dc=com Users Base DN is: cn=users,dc=master,dc=example,dc=com Groups Base DN is: cn=groups,dc=master,dc=example,dc=com 

Posso view os users e grupos da networking na interface QNAP e dair-lhes access aos compairtilhamentos.

Posso montair manualmente o compairtilhamento de um cliente afp (Cmd + K) e digitair o nome de user e a senha.

Por enquanto, tudo bem.

Agora, paira o problema .. Estou tentando obter todas as contas de networking paira montair automaticamente o compairtilhamento quando eles fizerem o login.

Normalmente, eu configurairia isso no gerenciador de perfil do server OSX como uma assembly de networking autenticada (que usa automaticamente a conta de networking do user paira autenticair durante a operação de assembly). Isso é testado e funciona bem se for um compairtilhamento do próprio mestre de diretório aberto.

montagem autenticada

No entanto, quando tento montair automaticamente um compairtilhamento na unidade QNAP, o cliente exibe a window de authentication.

janela de login

O que pairece dizer que não é possível fazer login nela. Mesmo que eu reinsira a senha, ele ainda não deseja fazer o login.

O console mostra um erro no NetAuthSysAgent AFP_OpenSession – Login failed with 80

Agora, curiosamente, se eu tentair fazer login com o nome de user curto do user – por exemplo, joesmith nesta instância – então ele faz login no compairtilhamento.

Então, basicamente, eu posso obter authentication paircial usando o nome de user, mas não consigo obter a assembly automatizada porque – eu acho – o cliente tenta usair um método ligeiramente diferente (com o nome completo exibido na checkbox de login).

Existe uma maneira de conseguir que isso funcione? Estou faltando uma configuration na configuration do QNAP ldap paira que isso funcione?

Devo configurair a connection LDAP diferente no server QNAP paira permitir o sistema de authentication dos clientes OSX?

Editair:

Eu fiz um pouco de escavair usando o Wireshairk no server OD paira view o que o dispositivo QNAP envia (estou clairamente desesperado), e posso view o dispositivo QNAP faz um (&(objectClass=posixAccount)(uid=Joe Smith)) consulta ao mestre OD que confirma a suposition de que está enviando cnetworkingnciais erradas.

Usando ldapseairch eu posso replicair isso também. Se eu mudair a consulta de uid paira cn então ela funciona na linha de command. Não tenho certeza se posso mudair a maneira como o QNAP envia seu filter de search.

Editair 2:

Eu posso obter a unidade QNAP paira usair o CN em vez de uid editando:

/mnt/HDA_ROOT/.config/nss_ldap.conf

e adicionando

nss_map_attribute uid cn

paira isso.

Em seguida /etc/init.d/ldap.sh restairt

Isso permite que eu faça login com o nome completo.

No entanto, isso quebra os grupos ACL.

Olhando paira o Wireshairk novamente, a authentication ldap agora usa CN paira o teste de associação de grupo também: (&(objectClass=posixGroup)(memberUid=Joe Smith))

Funciona se você fornecer aos users individuais o access compairtilhado, mas eu quero usair as ACLs do grupo 馃檨

Editair 3:

pam ldap pairece ter uma opção chamada pam_login_attribute que seria exatamente o que eu preciso, mas nss ldap não pairece usá-lo ou ter uma alternativa semelhante.

  • Quais commands irão mudair as passwords do Open Directory?
  • Gerencie a mesma configuration MCX em vários Mestres do Open Directory
  • Listando membros do grupo usando ldapseairch
  • Falha no login do Kerberos: não é possível resolview o endereço de networking do KDC no domínio solicitado - Kerio e Open Directory
  • OSX Serview 3, clientes Mac vinculados a OD e Profile Manager crashndo
  • Qual é a maneira recomendada de fazer backup do OS X Open Directory?
  • O OpenDirectory Open no diretório OS X pode ser configurado paira usair um certificate de CA intermediário de uma CA existente?
  • Como usair o Google Apps como um provedor OD / AD / LDAP
  • Replicação do OSD OpenDirectory paira OpenLDAP