Mac OS X Server van de grond af (2)
Zonder eerdere server ervaring begon ik enige tijd geleden met Mac OS X Server. Alle mooie woorden in de handleiding waren vaak bruikbaar, maar gaven geen goed beeld van wat nou een kwestie van klikken was en wat een stuk moeilijker. Hence deze artikelen. In dit tweede deel komt de workgroup manager aan bod, waar alle user management plaatsvindt. Ik log gebruikers in via een centrale server en geef ze toch hun eigen thuismap. Geef ze de bestanden waar ze aan mogen komen. En ik kijk even kort naar de webserver.
User management
Verschillende gebruikers, met verschillende permissies en opties, zijn onmisbaar voor vele servertoepassingen. Apple biedt voor user management de workgroup manager toepassing aan in Mac OS X server. Dit programma stelt de Open Directory-database op je server in (een implementatie van LDAP). Ook andere LDAP-gebruikersdatabases zouden compatible moeten zijn, maar net als in mijn eerder artikel ga ik weer uit van een ‘from scratch’ situatie met alleen Apple.
Eigenlijk werkt het hele user management heel erg makkelijk. Hoe je gebruikers instelt en groepen maakt, wijst zichzelf uit. Alleen over het onderscheid tussen de ‘admin’ groep en de ‘admin’ gebruiker heb ik me even het hoofd gebroken. Admin maakte geen deel uit van de admin groep, maar had wel adminrechten. Ik heb het maar zo gelaten.
Een belangrijke reden voor mij om users op de server in te stellen, was de mogelijkheid om loginnamen en home-directories te centraliseren. Iedereen een login die overal werkt, ook op bijvoorbeeld netboot-machines, en persoonlijke bestanden in een home-map die vanaf de server geserveerd wordt en aldaar dagelijks gebackupt wordt.
Volgens de handleiding werkt dit allemaal erg simpel, maar ik kwam een aantal knelpunten tegen. Via een speciale LDAP optie in DHCP geef je aan alle computers door waar ze voor hun login-goedkeuring moeten zijn, in dit geval bijvoorbeeld op de server met ip 10.0.0.1. Echter, de Xserve in mijn situatie vervult zoals eerder gezegd ook een routerfunctie.
Als je de server insteld als zgn. ‘Open directory master’, wat dus wil zeggen dat híj de lakens uitdeeld bij het user management, gaat er in zo’n routersituatie iets fout: hij neemt standaard als host name het externe ip-adres om z’n login-authenticatie uit te serveren, wat tot gevolg heeft dat je server volstrekt onvindbaar is voor al die computers die op 10.0.0.1 hun gebruikers willen authorizeren. De oplossing is dus om de host op 10.0.0.1 in te stellen, waarbij 10.0.0.1 ook een heel ander adres kan zijn, als het maar het lokale ip van je server is. En dit heeft mij, met nadruk, veel ergernis gekost.
Het tweede knelpunt zit ‘m in de search bases. Dit zijn een soort zoeksleutels voor de computers, zodat ze weten waar ze moeten zoeken in de gebruikersdatabase. Mijn advies: strak de handleiding volgen en alles blanco laten dat blanco mag blijven. Alleen bij de open directory settings in de server admin toepassing (niet te verwarren met de gebruiker ‘admin’) staat bij mij de searchbase ‘dc=lan’, omdat deze nu eenmaal niet weg te halen is. Via DHCP geef ik daarentegen geen search base door aan de client-computers. De client computers stel je trouwens via de adreslijst-toegang in om hun gebruikers bij de server te authenticeren. Het vinkje ‘gebruik via dhcp toegewezen ldap-server’ voorkomt ook hier geklooi met search bases en benaderingsmethodes. Overigens vind je deze optie door op ‘LDAP v3’ te klikken en vervolgens op configureer.
Thuismappen
Als je dit allemaal aan het draaien hebt gekregen, loopt de login goed – maar we willen ook home-directories. Dit proces kan ik wel helemaal uit de doeken doen, maar eigenlijk voldoet de Apple documentatie goed wat dit betreft. De truc zit ‘m in het kloppend instellen van permissies van de map waarin de home-directories staan. AFP guest access moet bijvoorbeeld aanstaan in server admin, maar ook in workgroupmanager op bepaalde plaatsen – en die plaatsen staan in de documentatie. Deze guest acces wil nog niet zeggen dat zomaar al je bestanden op straat, nou ja op de werkvloer liggen.
De toewijzing van permissies aan share points (gedeelde mappen en/of schijven) is namelijk ook in workgroup manager ondergebracht (logisch, want eigenlijk valt er aan filesharing niets anders in te stellen dan wie aan welke bestanden mag) – en dit stelt nét even iets meer voor dan samengebruik. Iedere map of schijf kan aan andere groepen of individuen toegewezen worden en het werkt allemaal met een paar klikken.
Voorkeuren
Naast sharing en users is ook het preference management ondergebracht in de workgroup ondergebracht. Heerlijk! Alles voor de de die-hard controlfreak. En in vergelijking met het draaiend krijgen van open directory een absoluut eitje.
Kerberos
Het moet mogelijk zijn om een zogenaamde single sign-on te gebruiken in Mac OS X door middel van de Kerberos techniek. Het is een manier voor veilige authenticatie: je wachtwoord gaat niet één keer over het netwerk maar wordt met zgn. tickets goedgekeurd. Een aantal services zijn al ‘kerberized’. Hoewel het vast wel mogelijk is voor iemand die ervaring heeft met Kerberos om dit te benutten, schiet de documentatie wat dit betreft nog echt te kort. Bovendien is het nu ook niet zo dat een wachtwoordje per dag minder intikken een grote tijdsinvestering rechvaardigd.
Webserver
De webserver in Mac OS X server is sinds jaar en dag Apache. Daar was al niet zo veel mis mee in vergelijking met bijvoorbeeld de oude mailmodule, maar het leven is wel een stuk makkelijker geworden op het gebied van sites hosten.
Met één klik draait de webservice al in een basisvorm. Vervolgens configureer je in een handomdraai de verschillende sites die je wilt hosten, de realms die daarop van toepassing zijn (dus welke gebruikers waarbij mogen al dan niet met wachtwoord), de gewenste indexpagina’s en eventuele redirects.
Naast deze site-specifieke opties zijn er ook globaal instelbare opties. Apache modules, zoals php, zijn met één vinkje te activeren. Niks klooien in pico dus. Ook de Mime-types en content handlers (deze geven aan wat de webserver resp. de client met een bepaald bestand aanmoeten) zijn gewoon grafisch te editten.
Ik moet erbij vertellen dat ik verder geen gekke dingen van Apache heb gevraagd met betrekking tot SSL of andere advanced features. We gebruiken CGI en PHP (met een externe MySQL server), en dat is het wel zo’n beetje. Maar wat ik ermee gedaan heb, gaat makkelijk en werkt meteen.
De webserver biedt ook een Webdav-functie. In theorie heb ik dus een iCal-exchange in de dop ingebouwd zitten in m’n server – dag dot mac! Zodra ik tijd heb ga ik zeker hiermee aan de slag!
Wederom met dank aan Apple Centre Maastricht
