Mac在企业环境中的管理瓶颈(2)

－活动目录(AD)集成

注：Mac在企业环境中的管理瓶颈(1)

前言：

前面说了关于平滑迁移的一些想法，这次想说说在企业应用中最最关键和基本条件的，AD集成问题。这个话题很不好说，因为AD集成不仅是最重要的一个企业应用的瓶颈，它牵扯的方面很广，目前这方面应用的讨论最多，问题也最多，深入探讨涉及很多细节，广泛讨论又是涉及诸多方面，总之我一个人不可能把AD集成方面的话题说得周到和详尽，难免有遗漏和错误，不过想到最初“抛砖引玉”的目的，也就放下了包袱，放手写写自己的一些认识和感受吧。

目录服务是当代企业信息资源管理必不可少的一个手段，而在现实的企业环境中，作为事实上的业界标准和应用最广泛的活动目录(Active Directory，简称AD)，是不能被忽略的。AD是微软占据企业的拳头产品，微软的所有企业产品，可以说都是建立在AD这个基础之上的，而且是原生地 支持AD，AD在实际企业市场中也占据着不可忽视的主导地位。Mac的产品要想进军企业应用，不可避免的要面对和AD集成的问题。

苹果有自己的开放目录(Open Direcory，简称OD)产品，也是目录服务的一个实现版本，它是Mac OS X服务器操作系统中的一个基础架构，AD和OD原理上是同源的，都是目录服务，他们面对的对象和具体的实现的区别，不能彼此简单地统一，所以苹果在面对企业用户的时候，必须和AD友好相处，艰难的选择是：即不放弃OD，也要和AD集成。

目前来说，Mac系统原生地支持OD，可以和自己的OD很好的相互紧密结合，这正如Windows和AD的默契一样。同时，Mac系统可以很好地支持多种用户认证手段，所以也可以实现对AD认证的支持。单从认证方面来说，与Windows产品的对比来说，Mac系统具有更好的可扩展性，但是可扩展性好不是说用户体验就愉悦，相反，灵活性会产生更多问题，这些问题有的时候会另系统管理员甚至是用户感到沮丧，这也是我要说它是最重要的一个瓶颈。

开放目录服务OD

使用OD提供的目录服务，可以对苹果系统进行全面的管理，它的管理是通过一种叫做MCX(Managed Client for Mac OS X)的技术来实现的，MCX都是以XML描述语言来描述、传输和存储的，可以是加密的也可以是明文的，无论什么形式，都是Mac系统原生支持的，其实这个和它的系统和应用程序的配置文件的管理方式是统一的，它的这个实现，和Windows里面的通过Registry Keys和ACLs(Access Control Lists)的组策略(Group Policy)相比较，是完全不同的，相比较MCX更容易理解和实施，当然，Mac系统也是支持文件级别的ACLs，只不过不是原生的，有的应用是就不支持或者不完全支持ACLs。

OD提供管理员以相当的自由度和深度来管理网络资源，比如对系统的行为和用户行为，用户可以使用的系统资源，应用程序，界面等等做出详尽的安排，但是面对大型企业的复杂管理规范来说，就没有组策略那样的灵活性了，所以，这也是为什么OD只能适用于工作组级别的一个原因，同时OD也无法对PC进行方便管理。

Mac和AD集成

Mac系统自带一个叫做AD插件的认证组件，与它的LDAPv3等其它认证组件类似，来实现和AD的集成，通过用户验证并准许用户登录系统，也提供网络用户，本地用户和移动用户的功能，以实现对不同用户和应用场景的支持，同时可以把移动用户的本地数据和服务器之间进行同步。它也支持Kerberos网络认证协议，获得Kerberos钥匙，以实现对大部分系统资源的Single-Sign-On（一次认证，简称SSO），也就是用户登陆后，在访问其它网络资源的时候不会再次询问用户密码，而自动通过内部机制确认用户的访问权限。

由于Windows AD对一个网络资源使用SID来标识，而基于BSD（类Unix）系统的Mac，对于用户和用户组需要一个唯一的用户标识UID和组标识GID，他们之间没有对应，在实现AD集成的时候管理员可以选择使用一个AD属性来作为用户的UID与Mac，叫做静态UID，如果让系统自己生成一个ID的方法，叫做动态UID，动态的问题是，用户每次登录都使用不同的UID，管理员要进行必要的处理，否则会造成访问权限的混乱。

管理Mac

通过上面的简单集成到AD之后，如果你的企业决定对Mac系统进行一种松散的管理，那么只要实现了利用AD对用户登录认证就可以了。如果需要实施如同对PC的管理，管理员就需要进行进一步的配置。目前有大致三种有效途径，实现类似于AD里面GPO的管理效果，当然还是使用MCX来实现具体的管理功能。下面我们来粗略地介绍：

1. AD架构扩展：
   这个方式也是苹果官方推荐的方法之一。自从Windows Server 2003发布以来，管理员可以自由地对AD架构进行自定义的扩展，Mac也是通过这个方式，来让AD来认识和管理Mac系统。通过把36个属性和10个类添加到AD架构里面，AD架构就可以实现对Mac系统的“完全”控制，管理员只要使用苹果的管理工具Workgroup Manager，就可以实现如同在OD中一样的对Mac客户端的管理。如果你的系统需要这方面的支持，请购买苹果的服务有苹果的专业人员可以帮助你实现这种扩展。
   它的问题是，首先，你的AD架构很可能不被准许变动，你的AD系统管理员或者安全措施不能接受这种变动。任何对架构的变动，可能会对其它产生不可预知的影响，而且以后的支持工作也是无法预估的；其次，苹果没有保证未来会如何变化，随着版本和技术的升级，难免未来要做变更，那么这种变更对系统架构来说一种不可预知的，你的系统可以接受嘛？系统升级后，不同系统版本的同时存在，产生的他们之间的管理差异的解决也将是一个可能面对的技术问题，这些将在以后的技术发展过程中被一步一步的重视。
   
2. 双目录服务：
   也叫做魔术三角(Magic Triangle)或者金三角(golden Triangle)架构。上面的方式，使用单一的AD目录服务实现对客户端的管理，而这个双目录服务的方法是，把OD服务器集成到AD里，用AD用来实现用户认证和取得用于认证的Kerberos钥匙等, OD实现对客户端的管理。
   安装一个Mac OS X服务器，并把它添加到AD域中，使它称为一个域成员服务器，并让客户端首先到AD上取得用户认证，然后再到这个苹果服务器上取得用户和计算机的管理信息。这样，同样可以实现对客户端的管理。具体的实现方法在以前的Blog里面有专门的一个翻译系列讲述。
   这个配置需要另外的硬件和软件，而且备份以及用户数据同步等等，都可能会成为实施中的问题，一个专门的Mac OS X Server管理和维护团队可能也是必须的，这是软成本的付出。
   两个Security Database是必须面对的，如果你的企业对于Security的一致性要求特别高，那么两者的不一致会带来管理的障碍和困扰。当然，安全的一致性在不同的操作系统中的体现，本来就是有其内在的差异性，所以过分强求一致性，在现实中是不现实的。
   而在面对大型用户或远程办公环境的时候，这种方式的规模适应性和可延展性，以及当地部门管理员的培训等，可能都会是一个成本问题。
3. 第三方支持：
   现在第三方插件有为数不多的几个，一般来说，他们提供一种这种的解决方案，它即不变更AD架构，而且让管理员一个熟悉的GPO管理工具，来同时管理两个平台的计算机和用户。有的使用插入中间件的方式，提供一个管理环境，比如Centrify，有的是安装插件在AD上以及提供MMC插件(Snap-In)，比如Likewise等。
   在决定使用第三方插件之前，需要做足功课，目前的可用软件并不多，而且可靠性、排错、技术支持、公司的发展稳定性等等也是一个头痛的问题。

人才储备

面对Mac系统在企业中的管理，企业一定要进行人才的培训和储备。比如下面可能是对合格的Mac管理人员的一些要求：

• 熟悉*nix，熟悉Mac，一定要有CLI的经验和知识；
• 最好有Apple的认证；
• 实际经验，尤其是在解决问题上面的能力，要有debug的能力；

Mac的知识获得还是比较窄的，主要是从苹果官方获得，在线资料和在线论坛，求助苹果技术支持团队的协助，而第三方的技术支持公司还是比较少见，网上的资源也不多，而且技术水平良莠不齐。这样的状态的好处是可以集中精力，坏处是人数不够多。而且从现在的情势看，Apple的精力主要实在消费产品上，那是企业利润的主要来源，而且源源不断，所以它的主要注意力不在企业上，这个是一个重要问题，不过随着Mac系统在企业环境中的应用的增多，苹果公司必须面对这样一个事实，采取更积极的步骤来增加对企业应用集成的比重。

苹果本身的问题：

前面也说了一些，这里就再补充几个。

• 企业级技术支持部门不够强壮
• 在线知识库，不人性化：搜索功能虽然强大，但是由于结果过多，不容易找到真正的，混乱：没有分门别类的知识库
• 网站速度也是不快
• 硬件系统不开放，造成硬件成本太高
• 系统更新和修补反应不快

版权信息 : 本着开放交流的原则欢迎转载，除非明确声明"谢绝转载"等字样. 所有文章/图片/代码(除转载和翻译)，版权均属文章作者 .
转载请遵守下面规则:
1）保持文章的完整性； 2）不得以盈利为目的； 3）完整标注文章作者［Tony Liu@中国在线教育 ］和文章中标注的所有版权信息。
其它事宜，如:需要商业用途或以盈利为目的的、或者部分转载的等等，请与本作者联系: TonyLiu2CA@yahoo.com

其它技术问题：

下面说说一些技术上可能遇到的小问题。

网络和AD负载加重 ：

使用Mac的AD插件工程中，可能会发现，AD服务器的负载会明显加重，首先Mac会频繁地访问AD服务器，造成很多的AD访问和网络负担，尤其是当使用网络用户的时候，对于网络的负担会比较明显。

SSO：

它不支持所有网络资源的一次认证功能。

钥匙链的困扰:

钥匙链（Keychain）是Mac系统本地存储和管理用户密钥，系统密钥等等机密数据的一个内在机制，这个机制在单一的Mac环境中工作的相当出色，为用户提供了极大的便利。但是在多架构的环境里，却成为了最终用的一种噩梦。

它的机制是，使用用户的登录密码加密钥匙链文件，并在用户每次登录的时候打开它，推出登陆后会自动的关闭。打开后，里面储存的密码就可以被用户的应用程序使用，比如Safari可以存取用户用户名和密码，实现自动登录网站。

单一环境里，用户变更密码都会反映到用户的个人文件夹中，而多架构中，比如用户在PC上变更密码，那么当用回到Mac上来时，钥匙链的密码和用户密码就不匹配了。oy钥匙链的密码和用户的登录密码不匹配的之后，钥匙链无法被正确的打开，其它程序也就无法访问里面的数据了。如果仅仅是不能访问忽略也就算里，有的程序，比如Safari，会频繁的询问用户钥匙链的密码，而用户可能忘了到底是哪个密码了，重复尝试无果后，会令用户很是烦恼。

所以，教育用户养成在Mac电脑上变更密码的习惯，会成为管理员培训的一个重要话题。

打印机管理：

即便是集成到AD，对打印机的管理依然是不可能的。一个用户登陆后，他可以使用的打印机被安装到本地，而所有其它用户都可以存取这个打印机，即便其它用户没有存取权限，这个问题存在于10.5之后。当然，在不复杂的环境里，可以通过管理方法绕过这个问题。

多种安全措施：

前面说了，MCX是目录服务中使用的管理手段，同时Mac还支持本地的ACLs和POSIX的安全措施，这样，在实施一个管理的时候，选择恰当的措施，而面对一个安全管理问题时，有可能是多方面的问题的组合，这就需要管理人员的经验和对系统知识的完备和灵活运用。

企业关键应用：

比如，如果你的系统依赖于Outlook，那么要慎重考虑为Mac用户提供的可用工具，因为Outlook For Mac并不提供完全的和Windows版Outlook的对应的功能。再比如Citrix的Java设置要求，可能和其它系统的要求产生冲突，等等。

ACLs的管理：

Mac没有提供类似Windows里面的富GUI的管理方式，虽然可以通过Get Info简单管理，但是无法做到全面，要想细致全面管理，一定要使用CLI的命令行，当然这也是管理员的一个必修课程。

结束语：

其实，基于我本人的喜好来说，相比较AD管理PC来说，我还是比较喜欢OD管理Mac的，Mac的管理比较直观理性快速和有效，程序安装简便等等诸多好处，既然时说瓶颈，那些好处这里不赘述了。

---

初稿：2010年12月28日