Единый вход (SSO) с Xgrid, без OS X Server (10.6.x)?

1

В последнее время я немного поигрался с Apple Xgrid и надеялся найти способ использования нескольких агентов, запуска задач в качестве аутентифицированного пользователя, без необходимости запуска OS X Server на контроллере.

Единственный способ сделать это - использовать опцию аутентификации с единым входом для контроллеров и агентов Xgrid, реализованную через Kerberos в сочетании со следующими пакетами:

OpenDirectory
DirectoryСервис
OpenLDAP

(некоторые с открытым исходным кодом доступны через http://www.opensource.apple.com/release/mac-os-x-1062/ )

Я немного заржавел на Kerberos. Прежде чем идти по этому пути или создать виртуальную машину под управлением Linux + OpenLDAP + KDC, кто-нибудь успешно получил SSO для работы без OS X Server?

Ives
источник

Ответы:

2

Я уверен, что вы могли бы взломать это как-то, но это, вероятно, не стоит усилий. OpenDirectory очень прост в настройке и будет работать со всем Mac из коробки. Вы можете купить Mac Mini с Snow Leopard Server за 999 долларов и начать работу в течение часа.

Если вы действительно стеснены в средствах, вам следует пойти по маршруту Kerberos + LDAP с сервером Linux. Это должно работать так же хорошо, но вы потеряете некоторые функции OpenDirectory, такие как управление клиентом. Ограниченное количество сервисов работает с PAM, но большинство из них не используют его и проводят аутентификацию непосредственно в каталоге (читай: Kerberos).

Практически все в экосистеме Mac опирается на Kerberos для единого входа, поэтому вам следует ознакомиться с ним. Я рекомендую Kerberos: полное руководство для обзора концепций.

Камил Кисиэль
источник
1
+1 за использование сервера OS X Поднять и запустить Kerberos не тривиально.
duffbeer703
Спасибо за мысль. Виртуальная машина OS X Server также подойдет, так как она обрабатывает только аутентификацию. Тем не менее, цель будет заключаться в том, чтобы реализовать это в ряде небольших лабораторий, которые уже интегрированы с Linux или MS AD, что делает OS X Server избыточным, а затраты трудно оправдать только для xgrid.
Ives
Если у вас уже есть интеграция с AD, у вас уже должен быть Kerberos, так что я не вижу проблемы там? Кроме того, если у вас есть несколько небольших лабораторий, все они связаны с центральным доменом или независимы? В любом случае, для сценария Linux вы можете просто запустить OpenLDAP и дистрибутив MIT Kerberos, и у вас тоже все будет хорошо.
Камил Кисиэль