182260

Active Directory mit dem Plug-in von Apple

Seit Mac-OS X 10.3 liefert Apple Plug-ins für mehrere Verzeichnisdienste aus. Immer aktiviert sind LDAP (für den Zugriff auf Open Directory) sowie die Plug-ins für die lokal gespeicherten Daten.

Bei letzteren unterscheidet Apple seit Mac-OS X 10.5 strikt zwischen den veralteten Unix-Rechten (in Textdateien im Ordner „/private/etc“) und der lokal gespeicherten Variante der LDAP-Rechte, die als XML-Dateien im Ordner „/private/var/db/dslocal“ stehen. Die vorher genutzten Netinfo-Datenbanken sind seit Mac-OS X 10.5 verschwunden.

Grundparameter kontrollieren
Mit Apples Plug-in für Active Directory kann man die Grundparameter abdecken: Benutzername, Kennwort und Benutzerverzeichnis. Damit lassen sich Macs und deren Benutzer an Active Directory binden; die Verbindung zu Verzeichnissen mit mehreren Domains („forest“) funktioniert. Fällt ein Server aus, wechselt das Plug-in automatisch zum Backup-Server. Außerdem lassen sich „mobile Accounts“ anlegen, damit die Benutzer mit dem Mac auch ohne Verbindung zu Active Directory arbeiten können. Über die Gruppenrechte in Active Directory kann man einem Benutzer die Verwaltungsrechte für den Mac gewähren, die sonst über die Systemeinstellungen am Mac im Bereich „Benutzer“ vergeben werden.

Knackpunkt UID
Größter Knackpunkt an der Lösung von Apple ist die eindeutige Kennung des Benutzers (UID). Bei Unix und bei Mac-OS X wird diese Kennung genutzt, um die Zugriffsrechte auf Dateien und Ordner sowie die Zugehörigkeit zu einer Benutzergruppe zu speichern. In Active Directory fehlt allerdings ein passendes Attribut.

Ab Werk ist deshalb das Plug-in so eingestellt, dass die Werte bei jedem Anmeldevorgang über Active Directory aus zwei Werten: GUID und MAC („Globally Unique Identifier“ von Active Directory und „Media Access Control“ der Ethernet- oder Airport-ID des Mac). Bei Dateien, die der Benutzer lokal auf dem Mac speichert, entstehen dadurch keine Probleme, weil der Benutzer innerhalb des „Benutzerordners“ von Mac-OS X alle Rechte hat. Lässt sich dort die UID nicht zuordnen, erbt die Datei die Rechte vom Ordner, in dem die Datei gespeichert wird.

Deshalb bietet das Plug-in von Apple an (im schräg benannten Bereich „Pfade“), die Möglichkeit ein beliebiges Attribut von Active Directory als Wert für die ID des Benutzers zu verwenden. Das Attribut fällt damit aber für jede andere Verwendung aus.

PC-WELT Marktplatz

182260