先把Mac Server架起來,不到600元台幣,就把server下載,然後安裝好,再然後...(腦中空白)
也還沒想好做什麼,先來查一下台北市圖書館,看有沒有什麼mac server入門的中文書,來個快速入門之類的,嗯...結果是沒有。
那...先把Open Directory(OD)架起來好了,結果發現,要先把DNS架起來,才能開啟OD。如何設定OD,就下回有空閒時,再紀錄了;看起來架設不難,多摸幾下大概就了解它的關係。因為OD沒什麼可以設定的,只有開啟,建立新的OD檔,備份OD檔。
但沒有玩過LDAP(OD),還不知它到底怎麼運用,於是就想說先和Router(FortiNet)的VPN登入整合看看好了,從過程中來再了解LDAP。
所以先來紀錄一下,FortiNet vs OD的整合過程。網路文章很多,也不會太難找。設定目標是,只要是在OD特定群組的User,都可以使用VPN。簡易記一下自已在FortiNet的設定順序:
- 已經先建立好SSL-VPN的功能。
- 建立LDAP認證。(用戶設備-->認證-->LDAP)
- 在原本的VPN群組中,加入遠端群組。(用戶設備-->用戶-->用戶群組)
以上是簡述,但過程中,著實踏了好幾個雷。
雷1:建立LDAP認證
在設定畫面裡有一個選項:“通用名稱標識”
原本一直沒搞懂它的用途,後來才了解,是要設定Forti從OD找Users資料時,要比對LoginID是在OD Schema中的哪個屬性;最後設定為“通用名稱標識”=“uid”才登入驗証成功。
雷2:也是在建立LDAP認證時
在設定畫面裡有一個選項:“Bind Type”,有三個選項:簡單模式,匿名,正規模式
不了解的是為何選“簡單模式”和“匿名”時,結果是一樣的。最後還是照網路的文章,選擇了“正規模式”。
雷3:最雷的是用戶群組的設定
因為不想在FortiNet一個一個的user,來設定可否SSLVPN登入。想要指定在OD中,只要是符合的群組,就可以登入,但在設定“用戶群組”後,卻沒有作用(應該是Fortinet也不知如何從OD來驗證User vs Group)。只好東找西找,才發現原來還要改FortiNet的設定檔。
要用CLI的方式變更及編輯,變更方式簡記如下:
【參考資料】
雷1:建立LDAP認證
在設定畫面裡有一個選項:“通用名稱標識”
原本一直沒搞懂它的用途,後來才了解,是要設定Forti從OD找Users資料時,要比對LoginID是在OD Schema中的哪個屬性;最後設定為“通用名稱標識”=“uid”才登入驗証成功。
雷2:也是在建立LDAP認證時
在設定畫面裡有一個選項:“Bind Type”,有三個選項:簡單模式,匿名,正規模式
不了解的是為何選“簡單模式”和“匿名”時,結果是一樣的。最後還是照網路的文章,選擇了“正規模式”。
雷3:最雷的是用戶群組的設定
因為不想在FortiNet一個一個的user,來設定可否SSLVPN登入。想要指定在OD中,只要是符合的群組,就可以登入,但在設定“用戶群組”後,卻沒有作用(應該是Fortinet也不知如何從OD來驗證User vs Group)。只好東找西找,才發現原來還要改FortiNet的設定檔。
要用CLI的方式變更及編輯,變更方式簡記如下:
- config user ldap //執行設定user的ldap
- show //顯示目前的設定
- edit "Open-Directory-Name" //編輯已建立的設定檔,記得改成你取的名字
- set group-member-check group-object //這行主要是告知Fortinet要check群組
- set group-object-filter "(&(objectclass=posixGroup)(memberUid=*))" //這行主要是告知Fortinet,查詢群組時要用的filter,如何找到群組中的user list
- end //確認並儲存
【參考資料】
- https://forum.fortinet.com/tm.aspx?m=117909
- https://discussions.apple.com/thread/2025062?start=0&tstart=0
