So arbeitet Microsoft Active Directory mit MacOS X zusammen

So arbeitet Microsoft Active Directory mit MacOS X zusammen
Bild 1 von 4

So arbeitet Microsoft Active Directory mit MacOS X zusammen

22.03.2010 - 09:47 Uhr von www.pcwelt.de

Microsoft Active Directory ist eine Datenbank für Mitarbeiter und deren Rechner. Der Kontakt zum Mac und zu Mac-OS X ist nicht einfach. Wir erklären, wie Sie die Fallstricke umgehen.

Active Directory und Open Directory (das Pendant von Apple) klingen sehr ähnlich, doch in der Praxis arbeiten die beiden Verzeichnisdienste nur bei einfachen Aufgaben gleich. Für komplexere Administrationsaufgaben bedarf es einer Vermittlersoftware oder einiger Änderungen an der Datenbank von Microsoft Active Directory – eine Aufgabe, die die Verantwortlichen aber nur sehr ungern angehen.

Lücken und Lösungsansätze
Microsoft hat eine ganze Reihe von Software, die sich nur schwer mit Macs nutzen lässt. Seit Mac-OS X 10.3 bietet Apple für den Verzeichnisdienst Active Directory ein Plug-in an, dass die grundsätzlichen Daten von Active Directory liest: Benutzername, Kennwort und Benutzerverzeichnis („home directory“). Schon bei letzterem allerdings trennen sich die Gemeinsamkeiten: Das Plug-in kann SMB-Volumes mounten; nutzen kann man sie am Mac aber nur, wenn auf dem Windows-Server dafür nicht Microsoft DFS („Distributed File System“) verwendet wird.

Microsoft hat bei der Server-Software einige Jahre „Services for Macintosh“ mitgeliefert. Unter anderem stellen diese Dienste die Netz-Volumes des Windows-Servers als Freigaben für den Mac zur Verfügung („AFP volume“). Diese Dienste waren für Mac-OS 9 gedacht. Sie lassen sich mit Mac-OS X nutzen, da sie aber eine veraltete AFP-Version verwenden, kommt es immer wieder zu Problemen. Außerdem handelt man sich damit eine Sicherheitslücke ein: Das Kennwort wird unverschlüsselt oder sehr schwach zwischen Macs und Windows Server übertragen.

Ohne Zusatzsoftware wie Admitmac von Thursby kann selbst Mac-OS X 10.6 („Snow Leopard“) keine Dateien von DFS-Volumes lesen. Die Verzeichnisse sind sichtbar, doch die Dateien nicht – es fehlt das Recht, den Inhalt eines Ordners zu lesen. Richtig spannend wird es erst, wenn man Active Directory nutzt, um Benutzern bestimmte Rechte zuzuweisen, beispielweise das Recht, bestimmte Software zu nutzen.

Apple verwendet dafür die Struktur MCX („Managed Clients for OS X“); Microsoft dagegen GPO („Group Policy Objects“). Die Hersteller Centrify und Likewise bieten Software an, die zwischen beiden Rechtemodellen übersetzt.

Active Directory erweitern

Alternativ dazu gibt es zwei recht komplexe Lösungsansätze ohne zusätzliche Software: Active-Directory verwendet ein Schema, in dem die Daten aller Benutzer eingetragen sind. Dieses Schema lässt sich so erweitern, dass dort die Rechte eines Macs und dessen Benutzers Platz finden. Die Schema-Erweiterung besteht aus 36 Parametern („ Attribute“) und 10 Klassen.
Apple stellt mehrere Dokumente („white paper“) für die Schema-Erweiterung bereit; empfehlenswert für die Einrichtung ist neben diesen Dokumenten ein solides Wissen von Microsoft Active Directory (Windows Server 2003 R2 oder neuer), vom LDAP-Protokoll und von Mac-OS X Server (der als Open-Directory Master konfiguriert ist). Mit dieser Grundausstattung kann man mit einer kostenlosen Software von Microsoft („Microsoft AD Schema Analyzer“), die Unterschiede in der Datenspeicherung zwischen Active Directory und Open Directory ermitteln und als Textdatei im Format LDIF speichern („LDAP Data Interchange Format“).

Diese Textdatei muss an mehreren Stellen in einem Texteditor korrigiert werden, da die Software von Microsoft einige Attribute nicht so benennt, wie Mac-OS X das erwartet. Nach der Korrektur wird die LDIF-Datei in Active Directory importiert; die zusätzlichen Attribute für Mac-Besitzer sollten dann sofort im Editor des Verzeichnisdienstes auf dem Windows-Server sichtbar sein.

Tipp: Größtes Ärgernis an dieser Lösung ist, dass die umständliche Konvertierung wiederholt werden muss, wenn Apple Attribute ändert, beispielsweise beim aktuellen Wechsel von Mac-OS X 10.5 auf 10.6.

Das magische Dreieck

Apple empfiehlt Unternehmen oft, Active Directory und Open Directory parallel zu verwenden. Der Trick dahinter ist, dass damit eine Reihe von Kompatibilitätsproblemen vermieden werden, die bei anderen Lösungen auftreten. Die Verwaltung erfordert aber mehr Wissen und mehr Hardware – nötig dafür ist mindestens ein Mac mit Mac-OS X Server als Betriebssystem (empfehlenswert ist noch ein weiterer Mac für den Administrator, weil Apples Software für die Verwaltung des Servers nur unter Mac-OS X läuft).

Es muss nicht Apples Xserve sein. Die Maschine bietet aber einige Hardware-Vorteile gegenüber anderen Macs; zum Beispiel eine zusätzliche Ethernet-Schnittstelle für das Management des Rechners („Lights Out Management“) sowie leicht auswechselbare Komponenten und einen eigenen Baukasten („Applecare Service Parts Kit for Xserve“), der die wichtigste Teile für den Notfall enthält (Lüfter, Netzteil, Hauptplatine).

Zu der Hardware kommt dann der Umgang mit Apples Verwaltungssoftware Arbeitsgruppen-Manager. Dort lassen sich alle Rechte (oder Einschränkungen derselben) definieren, die mit Active Directory nicht machbar sind („Managed Client for OS X“). Empfehlenswert ist Mac-OS X Server außerdem für die Netzvolumes der Mac-Besitzer, da man sich damit einige Probleme beim Datenaustausch mit Windows-Rechnern erspart. Sollen Benutzer mit unterschiedlichen Betriebssystemen Dateien austauschen, kann man diese Netzvolumes von Mac-OS X Server den Windows-Benutzern zur Verfügung stellen. Die Anmeldedaten dazu können von Active Directory kommen.

Binden mit Active Directory

Beim magischen Dreieck geht man immer davon aus, dass der Windows Server mit Active Directory und der DNS-Server bereits vorhanden sind. Erster Schritt beim Aufbau des Dreiecks ist dann die Einrichtung von Mac-OS X Server. Wer dazu den Einrichtungsassistenten verwendet, muss bereits dort den Kontakt mit Active Directory eintragen und aktivieren (im Schritt „ Verzeichnisverwendung“). Später verwendet man dazu das Programm Verzeichnisdienste, das bei Mac-OS X 10.5 im Ordner „/ Programme/Dienstprogramme“; in Version 10.6 aber im Ordner „ /System/Library/CoreServices“.

Notwendige Parameter sind an dieser Stelle nur die Art des Servers („Verbinden: Active Directory Server“) und dessen vollständiger Name (keine IP-Adresse, da sonst Kerberos-Tickets auf diese nummerische Adresse statt auf den Domain-Namen ausgestellt werden). Wenn auf dem Mac zum ersten Mal eine Verbindung zu Active Directory hergestellt wird, muss Name und Kennwort eines Administrators für Active Directory mitgeliefert werden. Bei diesem ersten Kontakt werden eine ID für den Mac und ein Kennwort zufällig erzeugt und auf dem Mac und in Active Directory gespeichert. Beides verwendet Mac-OS X, um eine verschlüsselte Verbindung zum Windows-Server aufzubauen.

Tipp: Computer-IDs sollten nicht länger als 15 Zeichen im ASCII-Format sein. Sie dürfen keine Umlaute oder Leerzeichen enthalten.

Anschließend startet man das Programm Serveradmin (auf dem Server oder auf einem beliebigen Mac) wählt dort den Dienst „Open Directory“ aus und macht Mac-OS X Server zum „Open Directory Master“ . Da der Windows Server für die Anmeldedaten (und die Kerberos Tickets) zuständig ist, muss man in Serveradmin unter „Policy > Binding“ die Funktion „Enable authenticated directory binding“ abschalten“.

Rechte über Mac-OS X Server

Anschließend beginnt die Konfiguration der Arbeitsplatzrechner. Empfehlenswert ist, mit dem Dienstprogramm „Verzeichnisdienste“ zu arbeiten und dort den Rechner erst mit Open Directory und dann mit Active Directory zu verbinden.

Ein erster Test ist, sich an diesem Mac mit einem Benutzernamen von Active Directory anzumelden. Falls nichts anderes eingestellt wurde, legt Mac-OS X bei der ersten Anmeldung automatisch einen Benutzerordner auf der Festplatte des Macs an (im Ordner „/Benutzer“ ). Im Arbeitsgruppenmanager von Mac-OS X Server kann man dann Einstellungen für Benutzer, Gruppen oder für einzelne Computer machen. Wichtig ist dabei nur, dass man in der Zeile direkt unterhalb der Titelleiste jeweils den korrekten Verzeichnisdienst auswählt, beispielsweise für Open Directory „LDAPv3/127.0.0.1“.

Fazit
Active Directory und Open Directory lassen sich unter einen Hut bringen. Bei Mac-OS X 10.5 hatte man bis zum Update auf Version 10.5.3 Probleme, Snow Leopard aber funktioniert bisher relativ gut. Der zentralen Benutzerverwaltung mit Active Directory steht deshalb nichts im Weg.

Kasten: Der Nutzen von Active Directory

Seit Windows 2000 gibt es den Verzeichnisdienst Active Directory, einen Microsoft-eigenen Dienst für Administratoren. Wer Netze mit Macs und Windows verwaltet, tut sich leichter, wenn er auch vom Mac aus Zugriff auf die im Active Directory gesicherten Daten hat

WAS ES IST
Ein Verzeichnisdienst ist eine Informationsquelle, in der Informationen über Objekte abgelegt werden (vergleichbar mit einem Telefonbuch, in dem die Telefonnummern mit Namen stehen). Ein solcher Verzeichnisdienst listet alle Objekte, die es in einem Netzwerk, gibt in einer großen Datenbank, beispielsweise Faxgeräte, Drucker, Dateien, Benutzerangaben.

WEM ES NUTZT
Durch diesen Verzeichnisdienst ist ein Netzwerk für Administratoren und auch für die Anwender leichter zu benutzen. Wer ein Objekt, etwa einen Drucker in einem Netzwerk sucht, dem ist meist nicht der aktuelle Name bekannt, unter dem der Drucker im Netzwerk angelegt wurde, möglicherweise aber kennt er bestimmte Attribute wie Standort oder Gerätetyp. Da in einen Verzeichnisdienst zu jedem Objekt bestimmte Attribute mit abgelegt werden, kann man einfach nach diesen Attributen suchen und bekommt dann eine Liste der zutreffenden Objekte (Drucker).

WO ES HAKT
Wenn der Austausch zwischen Active Directory und dem Open Directory genannten Verzeichnisdienst von Mac-OS X nicht klappt, ist keine zentrale Verwaltung möglich. Das Resultat sind doppelter Aufwand bei Installation und Wartung. Hier hilft Software von Drittanbietern

Active Directory mit dem Plug-in von Apple

Seit Mac-OS X 10.3 liefert Apple Plug-ins für mehrere Verzeichnisdienste aus. Immer aktiviert sind LDAP (für den Zugriff auf Open Directory) sowie die Plug-ins für die lokal gespeicherten Daten.

Bei letzteren unterscheidet Apple seit Mac-OS X 10.5 strikt zwischen den veralteten Unix-Rechten (in Textdateien im Ordner „ /private/etc“) und der lokal gespeicherten Variante der LDAP-Rechte, die als XML-Dateien im Ordner „/private/var/db/dslocal“ stehen. Die vorher genutzten Netinfo-Datenbanken sind seit Mac-OS X 10.5 verschwunden.

Grundparameter kontrollieren
Mit Apples Plug-in für Active Directory kann man die Grundparameter abdecken: Benutzername, Kennwort und Benutzerverzeichnis. Damit lassen sich Macs und deren Benutzer an Active Directory binden; die Verbindung zu Verzeichnissen mit mehreren Domains („forest“) funktioniert. Fällt ein Server aus, wechselt das Plug-in automatisch zum Backup-Server. Außerdem lassen sich „mobile Accounts“ anlegen, damit die Benutzer mit dem Mac auch ohne Verbindung zu Active Directory arbeiten können. Über die Gruppenrechte in Active Directory kann man einem Benutzer die Verwaltungsrechte für den Mac gewähren, die sonst über die Systemeinstellungen am Mac im Bereich „Benutzer“ vergeben werden.

Knackpunkt UID
Größter Knackpunkt an der Lösung von Apple ist die eindeutige Kennung des Benutzers (UID). Bei Unix und bei Mac-OS X wird diese Kennung genutzt, um die Zugriffsrechte auf Dateien und Ordner sowie die Zugehörigkeit zu einer Benutzergruppe zu speichern. In Active Directory fehlt allerdings ein passendes Attribut.

Ab Werk ist deshalb das Plug-in so eingestellt, dass die Werte bei jedem Anmeldevorgang über Active Directory aus zwei Werten: GUID und MAC („Globally Unique Identifier“ von Active Directory und „Media Access Control“ der Ethernet- oder Airport-ID des Mac). Bei Dateien, die der Benutzer lokal auf dem Mac speichert, entstehen dadurch keine Probleme, weil der Benutzer innerhalb des „ Benutzerordners“ von Mac-OS X alle Rechte hat. Lässt sich dort die UID nicht zuordnen, erbt die Datei die Rechte vom Ordner, in dem die Datei gespeichert wird.

Deshalb bietet das Plug-in von Apple an (im schräg benannten Bereich „Pfade“), die Möglichkeit ein beliebiges Attribut von Active Directory als Wert für die ID des Benutzers zu verwenden. Das Attribut fällt damit aber für jede andere Verwendung aus.

Vor- und Nachteile

Die Standardmethode zum Beispiel bringt Zugriffsprobleme, wenn ein Benutzer sich innerhalb des Unternehmens an mehreren Macs mit denselben Zugangsdaten (von Active Directory) anmeldet. Da seine ID – wegen der Abhängigkeit vom Netzanschluss – an jedem Mac eine andere ist, werden Dateien, die er auf einem Server speichert, unterschiedlichen Benutzern zugeordnet.

Eine feste ID, die in Active Directory gespeichert ist, verhindert diese Zugriffsprobleme auf dem Server, erhöht aber den Aufwand bei der Einrichtung des Benutzerkontos in Active Directory. Der Verwalter muss das entsprechende Attribut in Active Directory mit einer echten und eindeutigen ID füllen; Doppler haben sehr unschöne Konsequenzen. Auf einem Mac kann man entsprechende IDs für lokale Benutzer in den erweiterten Optionen (siehe Bild auf dieser Seite) erzeugen; im Hintergrund prüft die Software dabei, ob die ID bereits vorhanden ist und erzeugt im Zweifelsfall eine neue ID. Passende Software für Windows beziehungsweise für Active Directory ist uns nicht bekannt.

Tipp 1: Admitmac von Thursby und Centrify Logincontrol bieten erheblich mehr Komfort als das Active-Directory-Plug-in von Apple. Unter anderem ist damit die verschlüsselte Kommunikation zwischen Mac und Active Directory einfacher und die komplexe Erzeugung von UIDs für Benutzer entfällt (siehe Tabelle auf Seite gegenüber).

Tipp 2: Zwischen Active Directory und dem Plug-in von Apple ist SSL-Verschlüsselung machbar. Dann läuft die gesamte Kommunikation zwischen dem Active-Directory- Server und Mac-OS X über Port 636 statt über den Standard-LDAP-Port 389.

Von Walter Mehl. Der Artikel stammt von unserer Schwesterpublikation MacWelt.

Quelle: In Zusammenarbeit mit www.pcwelt.de
Kommentare
Top-Themen
Schöner Fernsehen - Per Streaming im WLAN fungiert Ihr Smartphone als Fernseher. Bild 10mehr
Wissenschaftler haben herausgefunden, woran man erkennen kann, dass in einer Textnachricht gelogen wird. Entscheidende ...mehr
Es ist egal, ob Sie eine Radtour planen oder mit dem Fahrrad Ihr Sportprogramm erweitern und dafür die Touren ...mehr
Anzeige
Anzeige
Anzeige
Auch interessant
Anzeige
Top Bildershows
1
Keine Folge verpassen
Immer und überall Serien und Filme genießen? Dank Smartphone, Tablet und Co.mehr
4
Zum Welt-Emoji-Tag
Was wären Chat-Nachrichten ohne die kleinen, bunten Emojis? Weniger unterhaltsam!mehr
Anzeige
Anzeige
Anzeige