MDN

设备管理

• DeployStudio 安装及配置
• Mac OS X和OpenLDAP

DeployStudio 安装及配置

指导您完成安装和配置DeployStudio的分步过程。

管理Mac有起伏。虽然OS X的简单性在大多数情况下允许易于使用，但其市场份额优先考虑Windows，因此缺乏管理套件。当然，存在以苹果为中心的部署套件，但与更昂贵的替代方案相比，其中许多套件的动力太低，或者对于基本的管理需求来说太昂贵。

幸运的是，有DeployStudio Server，这是一个开源部署套件，提供成像、应用程序和设置管理，以及对BootCamp和基于Linux的分区的支持。我有没有提到它也是免费的？

DeployStudio可以配置为从Mac计算机或OS X Server作为独立的服务器应用程序运行，以获得更大的支持和添加网络功能。它还可以在类似于Open Directory的主/副本层次结构中设置，以根据组织的需求进行扩展。

在本文范围内，我们将讨论如何安装和配置DeployStudio。在深入安装过程之前，请查看以下要求。

• 运行 OS X 10.6.8+ 的 Apple Computer（如果运行独立运行；对于基于多播网络的部署，则需要 OS X Server 10.6.8+）。
• 可用存储空间足以服务器OS X映像进行部署。
• 宽带互联网接入（以太网）
• 行政级别的证书
• 静态IP
• DeployStudio安装程序

在验证是否满足上述要求后，是时候继续安装了。

一、安装DeployStudio

按照以下步骤安装DeployStudio：

1. 下载并打开DeployStudio DMG文件。在里面，你会发现软件包安装程序。执行它以开始安装过程（图A）。
   图A
   
2. 点按“继续”按钮以继续浏览“简介”屏幕（图 B）。
   图B
   
3. 点按“继续”按钮以继续通过“读我”屏幕（图 C）。
   图C
   
4. 点按“许可证”屏幕中的“继续”（图 D）。
   图D
   
5. 接受许可协议（图E）。
   图E
   
6. 在安装类型部分，您可以选择修改安装位置，然后单击安装（图F）。
   图F
   
7. 在继续之前，系统将提示您输入管理员凭据（图G）。
   图G
   
8. 如果在运行NetInstall服务的OS X Server上安装DeployStudio，可能会出现提示。如果存在以前的NetBoot文件，可能会显示一条消息，表明无法更新.nbi文件。这不是错误，只是一个通知。点按“好”以继续（图 H）。
   图H
   
9. 完成安装后，将显示摘要。现在，您可以单击关闭，因为部署工作室已成功安装（图一）。
   图一
   

二、配置部署工作室

按照以下步骤配置DeployStudio：

1. DeployStudio安装在应用程序中的实用程序文件夹中。具体来说，安装了三个应用程序：
   a。DeployStudio Admin：允许创建配置和工作流程以及管理计算机的管理控制台。
   b。DeployStudio Assistant：一个向导，将指导您完成创建不同NetBoot映像的步骤，以用于DeployStudio的各种功能，例如脚本应用程序部署。
   c。DeployStudio Runtime：这是一个窗口，允许您选择管理控制台中设置的工作流或配置，并在客户端计算机上执行它们（图J）。
   图J
   
2. 默认情况下，DeployStudio Assistant.app是最初进行配置的地方。然而，在不首先打开服务的情况下启动该应用程序将导致DeployStudioServer守护进程未激活的通知（图K）。
   图K
   
3. 转到系统偏好设置，找到DeployStudio Server首选项窗格（图L）。
   图L
   
4. 该服务安装在OFF位置。点按“ON”（ON）按钮会载入服务。状态将从停止（图M）更改为未配置存储库的警告（图N）。由于这是第一次运行该服务，目前不存在存储库。
   图M
   
   图N
   
5. 此时，单击启动助理按钮配置DeployStudio。选择与设置部署工作室服务器相对应的单选按钮，然后单击继续（图O）。
   图O
   
6. 在服务器连接部分中，输入分配给计算机的静态IP，并创建一个用户名和密码，作为DeployStudio的管理帐户（图P）。
   图P
   
7. 接下来，选择主服务器角色，因为这是第一个DeployStudio服务器。如果设置多个DeployStudio服务器，每个后续配置都应设置为可扩展性的副本（图Q）。
   图Q
   
8. 存储库类型是一个关键条目，因为此选择将影响DeployStudio的使用方式。如果DeployStudio是一台独立的计算机，图像存储在外部硬盘上，请选择本地文件夹。但是，如果要将部署工作室联网，并将图像多播到客户端，请选择网络共享点，然后单击继续以输入网络设置（图R）。
   图R
   
9. 如果选择了本地文件夹，请继续执行步骤#10；如果选择了网络共享点，请输入该文件夹的网络路径以及访问网络上共享文件夹的凭据（图S）。
   图S
   
10. 如果需要，以下部分允许您配置电子邮件通知。这是一个可选步骤，不会以这种或那种方式影响配置。如果您希望启用电子邮件通知，请选中复选框以启用并输入您的组织电子邮件服务器信息。如果没有，请继续下一步（图T）。
    图T
    
11. 网络安全是另一个重要决定，因为它将直接影响DeployStudio的访问方式。服务器和客户端之间的通信通过特定端口进行加密和非加密流量。启用SSL将使用第一方或第三方SSL证书来加密流量。此外，如果其他应用程序/服务已经使用默认值，则可以自定义端口（图U）。
    图U
    
12. 用户组部分允许系统管理员根据组成员身份定义对特定应用程序、功能和工作流的访问权限。默认值允许在安装期间创建的管理帐户完全访问所有内容。然而，如果与多名IT人员合作，最好通过将每个用户的帐户添加到他们需要访问的特定组中来执行其功能（图五）。
    图五
    
13. 同样，如果单独运行DeployStudio，请跳转到步骤#15；如果运行DeployStudio联网，则修改多播成像的设置，以满足组织环境的需求和要求。在配置这些设置时，请记住对生产网络的影响，并咨询网络管理员（图W）。
    图W
    
14. 对于其计算机管理能力，DeployStudio创建一个数据库，并在客户端连接到服务时实时创建条目。默认识别方法基于设备的序列号；但是，可能会根据MAC地址进行修改。修改与您的组织相关的选择（图X）。
    图十
    
15. 最后一步是初始配置阶段。单击继续将保存设置并创建DeployStudio存储库（图Y）。
    图Y
    
16. 保存设置后，将出现一条确认消息，然后重新启动DeployStudio服务，使其上线并准备与客户通信（图Z）。
    图Z
    

随着DeployStudio服务器的安装和配置成功完成，该服务已准备就绪，但仍必须配置为通过网络与客户通信。

本系列接下来的几篇文章将提供深入的信息，用于创建要启动到DeployStudio的映像，以及用于捕获参考映像（这些图像是预配置了所有设置和应用程序的计算机的已完成安装），以便自动部署到多台计算机。此外，我计划讨论如何构建和创建有助于部署上述映像、软件更新和设置配置的工作流程。

原文链接

Mac OS X和OpenLDAP

索引

• 导言

• 打开目录

• OpenLDAP的添加

• 模式

• 前交叉韧带

• 添加容器

• 让 Mac 通话 LDAP

• 连接到OpenLDAP

• 拒绝SASL机制

• 映射属性

导言

互联网上有很多关于如何将Mac OS X客户端绑定到OpenLDAP服务器的文档。这份文件是我试图提供这些信息。

打开目录

Open Directory（opendirectoryd）是围绕几个信息存储的包装器，其中一个可以是LDAP服务器。如果应用程序需要知道用户的主目录，它会要求Open Directory获取该信息，因此Open Directory需要知道从哪里获取这些信息。这就是这份文件的内容。如何以这样一种方式共同配置Open Directory，使其知道在哪里检索数据，特别是如何告诉它从我们自己的OpenLDAP服务器获取数据，因为我们假设您一开始就已经有一个OpenLDAP基础设施。

关于假设，我们再做几个。我们假设您已经在LDAP服务器中包含thesamba.schema或samba.ldif模式文件。我们还假设您使用Simple Bind（-x）来访问您的LDAP服务器。

OpenLDAP的添加

模式

我们必须用一些额外的模式文件来扩展OpenLDAP。我们不会盲目添加苹果提供的Mac OS X apple.schema文件，但我们提供自己的版本。上述模式文件都可以从das.made-it.com下载。要以正确的顺序加载它们，请确保您的slapd.conf看起来像这样：

包括/etc/openldap/schema/core.schema包括/etc/openldap/schema/cosine.schema包括/etc/openldap/schema/inetorgperson.schema包括/etc/openldap/schema/rfc2307bis.schema包括/etc/openldap/schema/microsoft-ad.schema包括/etc/openldap/schema/asid-ldap-cache-draft.schema包括/etc/openldap/schema/samba.schema包括/etc/openldap/schema/apple-od.schema

如果您当前的slapd.conf包含nis.schema，您可以安全地将其替换为RFC2307bis模式，它包含相同的属性和类，以及更多内容。您可以从DAS项目下载的属性已经注释了uidNumber和gidNumber属性，因为这些是OpenLDAP的内置。

 

前交叉韧带

Mac OS 10.9.2从LDAP服务器检索userPassword，这意味着slapd.conf中的ACL如下所示：

访问attrs=userPassword，sambaNTPassword，sambaLMPassword作者：dn="cn=manager,dc=example,dc=com" write由匿名授权由*无

不会起作用的。Mac应该能够读取用户密码字段，所以我最终做到了这一点：

访问attrs=userPassword，sambaNTPassword，sambaLMPassword作者：dn="cn=manager,dc=example,dc=com" write	作者：peername.ip=192.168.1.0%255.255.255.0 read由匿名授权	由*无

这允许整个本地网络读取密码字段的值。这并不理想，但至少让它发挥作用。

 

添加容器

Mac OS X使用base搜索LDAP树并过滤：（&（objectClass=organizationalUnit）（ou=macosxodconfig）），以支持在LDAP树中进行LDAP映射，我们添加以下内容：

dn：ou=macosxodconfig,ou=apps,dc=example,dc=comou：macosxodconfigobjectClass：顶部objectClass：组织单位

稍后，我们将用正确的数据填充。

 

让 Mac 通话 LDAP

连接到OpenLDAP

从“系统偏好设置”中选择“用户与群组”实用工具。点按“登录选项”，然后选择“加入...”按钮：

在服务器上：提示提供LDAP服务器的FQDN或IP地址。

如果您收到无法找到安全（SSL）连接的消息，请单击继续。在系统准备好检测LDAP服务器后，您应该会看到前面有一个绿点的网络帐户服务器。另请注意添加到允许网络用户登录的额外检查元素。

跑步：

sudo ls /库/首选项/OpenDirectory/配置/LDAPv3/

应该显示server-name.plist文件。

 

在“用户和组”实用工具中，点按“Web 帐户服务器”后面的“编辑...”。

选择服务器，然后单击打开目录实用程序...

双击LDAPv3行。将LDAP映射字段设置为RFC2307，并提供搜索基础后缀。

要完成此过程，请单击确定。

为了确保机器使用我们的LDAP服务器：

dscl localhost -列表 /LDAPv3

 

要查看用户列表，请按以下步骤操作：

dscl localhost -list /LDAPv3/<ldap-server>/用户

 

要确保SearchPath正确，请进行以下操作：

dscl /搜索 -read / CSPSearchPath

 

编辑/etc/auto_master并注释以/home开头的行，然后

killall autofsd

 

创建具有正确访问权限的LDAP用户的主目录，并使用以下内容进行测试：

su - <LDAP-user>pwd

 

如果您搞砸了，请从用户和组实用程序中删除网络帐户服务器并运行：

sudo rm /Library/Preferences/OpenDirectory/DynamicData/LDAPv3/<ldap-server>.plist

 

拒绝SASL机制

由于Mac OS X 10.7.2（狮子）Open Directory将尝试通过SASL机制连接到OpenLDAP。如果您的OpenLDAP服务器使用Simple Bind Lion，则不会回落到此状态，但会拒绝登录。10.7之前的版本仅使用Simple Bind，因此工作没有问题。

Wireshark显示，Mac做的第一件事是连接到LDAP服务器，要求服务器根过滤（objectClass=*），并请求支持的SASLMechanisms、defaultNamingContext、schemaNamingContext和salRealm。

如果我们用ldapsearch模仿支持的SASLMechanisms，它看起来是这样的：

# ldapsearch -x -h localhost -b '' -D "cn=manager,dc=example,dc=com" -y /etc/secrets/ldap-manager.secret -s base -LLL "(objectclass=*)" 支持SASLMechanisms

这导致了这样的事情：

支持SASL机制：DIGEST-MD5支持SASL机制：GSSAPI支持SASL机制：CRAM-MD5支持SASL机制：NTLM

 

为了让Mac再次运行良好，我们必须在Mac上对LDAP服务器提供的每个机制运行以下命令（用LDAP服务器的名称替换yourldapserver）：

/usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/yourldapserver.plistOpendirectoryd.plist？

 

映射属性

返回目录实用程序，网址为：

选择新...

点按“搜索与映射”标签。使用Open Directory将访问此LDAPv3服务器设置为Open Directory。左列中的每个条目更正搜索库，以反映DLAP树。

之后，请确保用户使用：inetOrgPerson、posixAccount、shadowAccount和apple-user。

组应设置为：posixGroup和apple-group

如果您想进行更多调整，请继续。完成后，选择保存模板...

像这样创建一个LDIF文件：

dn：ou=macosxodconfig,ou=apps,dc=example,dc=com更改类型：修改添加：描述描述：< file:///home/admin/Documents/Template.plist

根据您的本地情况调整DN和文件路径。

 

使用：

ldapmodify -x -h ldap.example.com -D "cn=manager,dc=example,dc=com" -W -f macosxodconfig.ldif

将Template.plist添加到您的LDAP树中。

 

在其他客户端上，您现在可以将LDAP映射设置为From Server而不是RFC2307。


客户将请求搜索库，并找出其余部分。

 

原文链接