Multi Domain Active Directory und OS X 10.7 Lion
Apple rühmt sich, wie gut sich der Mac in eine Enterprise Umgebung einbinden lässt. Prinzipiell ist dem tatsächlich so: das Einrichten seines Exchange Kontos samt Email, Adressbuch und Kalender am Mac ist denkbar einfach und schnell erledigt. Auch die Active Directory Anbindung zur Authentifizierung funktioniert in der Regel ganz gut. Außer bei Lion und einer Multidomain AD.
Mit 10.6 Snow Leopard hat das AD Domain Trusting recht gut funktioniert: der Snow Leopard Client wird an eine AD Domain gebunden und bekommt alle Authentifizierungsinformationen (Benutzer, Gruppen, Computer) aus allen Domains denen der AD Zweig traut. Alles was dazu gemacht werden muss ist das Häkchen Authentifizierung aus jeder Domain in der Gesamtstruktur ermöglichen zu setzen:
Der Suchpfad für Authentifizierung und Kontakte sollte automatisch auf All Domains gesetzt sein. Falls dies nicht der Fall ist, einfach einen neuen Suchpfad einfügen
Das hat, wie bereits erwähnt, ganz gut Funktioniert. Bis Lion.
Mit Lion hat Apple, was Authentifizierung und Verzeichnisdienste betrifft, eine ganze Menge umgebaut – leider mit einigen Fehlern die bis dato (OS X 10.7.4) immer noch nicht behoben sind. AD Authentifizierung gegen eine Single-Domain AD klappt nach wie vor, bei Multi Domains mit Trusts gibt’s Probleme. Das manifestiert sich u.A. dadurch, dass bei einem Login das Login Fenster einfach stehen bleibt und sich nichts mehr tut. In den Logs stehen dann Einträge die darauf hindeuten, dass der Benutzer bzw. dessen UID nicht gefunden/gematcht werden können: getpwuid(„20707“) failed
Abhilfe schafft (zumindest unter 10.7.4) das oben genannte Häkchen bei Authentifizierung aus jeder Domain in der Gesamtstruktur ermöglichen zu löschen und im Suchpfad die jeweils benötigte Teildomäne(n) hinzufügen. Wichtig ist, dass der Eintrag „All Domains“ gelöscht wird. Dann funktioniert die Authentifizierung gegen eine Multi-Domain AD wieder wie unter Snow Leopard. Zu diesem Thema gibt es auch Diskussionsbeiträge in den Apple Foren.
Bei der aktuellen Beta Version von Mountain Lion (10.8) tritt dieses Problem nicht auf. Hier scheint Apple offensichtlich nachgebessert zu haben. Allerdings kann sich bis zum finalen Release von Mountain Lion noch einiges ändern.