182260

Binden mit Active Directory

Beim magischen Dreieck geht man immer davon aus, dass der Windows Server mit Active Directory und der DNS-Server bereits vorhanden sind. Erster Schritt beim Aufbau des Dreiecks ist dann die Einrichtung von Mac-OS X Server. Wer dazu den Einrichtungsassistenten verwendet, muss bereits dort den Kontakt mit Active Directory eintragen und aktivieren (im Schritt „Verzeichnisverwendung“). Später verwendet man dazu das Programm Verzeichnisdienste, das bei Mac-OS X 10.5 im Ordner „/ Programme/Dienstprogramme“; in Version 10.6 aber im Ordner „/System/Library/CoreServices“.

Notwendige Parameter sind an dieser Stelle nur die Art des Servers („Verbinden: Active Directory Server“) und dessen vollständiger Name (keine IP-Adresse, da sonst Kerberos-Tickets auf diese nummerische Adresse statt auf den Domain-Namen ausgestellt werden). Wenn auf dem Mac zum ersten Mal eine Verbindung zu Active Directory hergestellt wird, muss Name und Kennwort eines Administrators für Active Directory mitgeliefert werden. Bei diesem ersten Kontakt werden eine ID für den Mac und ein Kennwort zufällig erzeugt und auf dem Mac und in Active Directory gespeichert. Beides verwendet Mac-OS X, um eine verschlüsselte Verbindung zum Windows-Server aufzubauen.

Tipp: Computer-IDs sollten nicht länger als 15 Zeichen im ASCII-Format sein. Sie dürfen keine Umlaute oder Leerzeichen enthalten.

Anschließend startet man das Programm Serveradmin (auf dem Server oder auf einem beliebigen Mac) wählt dort den Dienst „Open Directory“ aus und macht Mac-OS X Server zum „Open Directory Master“. Da der Windows Server für die Anmeldedaten (und die Kerberos Tickets) zuständig ist, muss man in Serveradmin unter „Policy > Binding“ die Funktion „Enable authenticated directory binding“ abschalten“.

Rechte über Mac-OS X Server

Anschließend beginnt die Konfiguration der Arbeitsplatzrechner. Empfehlenswert ist, mit dem Dienstprogramm „Verzeichnisdienste“ zu arbeiten und dort den Rechner erst mit Open Directory und dann mit Active Directory zu verbinden.

Ein erster Test ist, sich an diesem Mac mit einem Benutzernamen von Active Directory anzumelden. Falls nichts anderes eingestellt wurde, legt Mac-OS X bei der ersten Anmeldung automatisch einen Benutzerordner auf der Festplatte des Macs an (im Ordner „/Benutzer“). Im Arbeitsgruppenmanager von Mac-OS X Server kann man dann Einstellungen für Benutzer, Gruppen oder für einzelne Computer machen. Wichtig ist dabei nur, dass man in der Zeile direkt unterhalb der Titelleiste jeweils den korrekten Verzeichnisdienst auswählt, beispielsweise für Open Directory „LDAPv3/127.0.0.1“.

Fazit
Active Directory und Open Directory lassen sich unter einen Hut bringen. Bei Mac-OS X 10.5 hatte man bis zum Update auf Version 10.5.3 Probleme, Snow Leopard aber funktioniert bisher relativ gut. Der zentralen Benutzerverwaltung mit Active Directory steht deshalb nichts im Weg.

PC-WELT Marktplatz

182260