Exempel på Macar i stor organisation

Okej, "på allmän begäran" skall jag kortfattat förklara vad det är jag håller på med för lösning.

Utgångsläge:
*AD innehållande ca 50000 konton, blandat studenter och personal.
*Personal har hemkatalogutrymme inom SAN via SMB
*Avsaknad eller sporadisk backup
*Studenter har inget utrymme
*En hög med mackar utan någon som helst kontroll, i stort sett.

Mål:
*Använd AD för autentisering både för personal och studenter
*Använd mobila konton för personalen för att lösa backup
*Ge studenterna tillgång till lagring
*"Ta befälet" över maccarna utan att inkräkta på användarna

Flera av dessa saker kan hanteras direkt av Apples "inbyggda" funktionalitet, men "ta befälet"-delen är svårare då Apples lösningar är omständliga eller o-fungerade i större installationer.
Vad vi gjorde var att vi köpte in Casper Studio från JAMF Software. JAMF Software: Client Management Software for Macintosh Professionals En programvara som körs på en mac os x server och därigenom hanterar man installation av nya datorer, utrullning av programvara, uppdateringar, osv, osv enligt principer som till viss del liknar Group Policies på Windows Server. Mer om detta senare.

Att använda AD för autentisering är verkligen rättfram, bara sätta kryssen i AD-pluggen i katalogverktyg och sen kör man. Vi har då kryssat rutan om att man skall skapa mobilt konto och använda SMB som protokoll för hemkatalogen, vilkens URL hämtas som UNC-path via AD:t. Redan här stöter man dock på patrull. Synkroniseringen falerar ganska snabbt och vägrar komma igång igen. I loggarna kan man härleda detta till ett problem med Kerberos vilket också besannades. Apple har ett system för att montera diskar automatiskt som fungerar väldigt bra med OSXS, men väldigt dåligt med Windows-servrar. Det blir den första användaren som monterar servern och sen förväntas det vara giltigt för alla efterföljande inloggningar men detta är inte möjligt då kerberosbiljetten blir ogiltig efter en tid eller efter utloggning. Efter lång tid hittade jag lösningen som består av att man i filen /etc/auto_master kommenterar bort raden som börjar /Network/Servers och på så sätt stänger av autofs, då fungerar genast synkningen som förväntat.
En nackdel med denna lösning är att man inte kan styra synkroniseringen på någon mer finmaskig nivå så därför har vi skapat en "magisk triangel" som möjliggör styrning av inställningarna på ett smidigt sätt via MCX:er i Workgroup Manager.
Den magiska triangeln löser också ett problem för oss när det gäller studenternas lagring. Vi har en äldre Xserve intel med en fullproppad xserve RAID. Denna är tänkt att serva de studenter som behöver utrymme inom vårt område.
En magisk triangel funkar som så att man har en OD-server som samtidigt är kopplad till AD:t som en "vanlig" workstation. När en OD-server är kopplad på detta vis så förstår den att man vill använda AD:t till så mycket som möjligt, men också att det är ovanligt att man får igenom schemaändringar i AD:t så man kan administrera MCX:er den vägen. Genom den magiska trianglen så kan man då istället "lägga till" information som sen skickas vidare till klienten. Våra maccar är alltså kopplade till 2 katalogtjänster samtidigt där AD:t står för autentisering och OD:t står för macspecifika tillägg såsom MCX:er.
Från början skulle vi inte heller få lägga till en UNC-path på våra studenter i AD:t och då hade vi också möjligheten att ha så kallade augmenterade användare i OD:t vilket innebär att man kan addera en hemkatalog-path till den informationen som skickas till klienterna, så att även om AD:t inte tillhandahåller path till hemkatalog så kan OD:t göra det, helt utan att den överliggande AD-strukturen vet, eller ser något. Nu har detta dock blivit så pass officiellt att vi får tillåtelse att lägga till en path i AD:t så vi kommer inte behöva augmenterade användare, men jag kan bekräfta att det fungerar bra.
Istället är våra OSXS-maskiner nu med i AD:t och delar ut hemkatalogutrymme via SMB i "kerberized" läge så den krb.tgt man får från AD:t är giltig även på OSXS-maskinerna och man kan således ansluta dessa som hemkataloger utan att behöva göra någon skillnad i AD-pluginen.
OD-servern hanterar nu istället datorgrupper och användare/grupper som vi vill kunna skjuta ut MCX:er till. För den som inte vet vad MCX är så kan man enkelt säga att det är speciella filer som innehåller "managed preferences", dvs inställningar man vill pådyvla användarna och datorerna. I vårat fall handlar det om datorinställningar som gäller att studentdatorer skall vara mer nerlåsta än personaldatorer samt att studenterna inte får skapa mobila konton för att inte fylla datorerna. Vi gör också inställningar som gäller hemkatalogsynkningen för anställda, man kan genom MCX:er ha en mer finkorning styrning över vilka filer som skall synkroniseras och inte, t.ex. är det ju smart att hoppa över cache-filer och papperskorgen, osv.

Genom detta har vi alltså klarat av de 3 första punkterna i målen. Backup-funktionaliteten består i att den centralt lagrade hemkatalogen backuppas enligt alla konstens regler, och ligger dessutom på ett centralt SAN med 24/7-övervakning osv. Dock ska man ju vara medveten om att den här typen av backup inte skyddar mot "den mänskliga faktorn". Raderar du en fil så kommer den att raderas på den centrala lagringen så fort synkningen utförs. Som en lösning på detta problem funderar vi på att sätta upp en extra partition på den interna disken mot vilken man kör en begränsad, lokal Time Machine. Denna är ju ingen säkerhet mot dataförlust, men innebär ju att man snabbt och på egen hand kan återställa filer om man klantar sig och raderar något.

Kvar är Casper-lösningen. Casper Suite är en heltäckande lösning för att skjuta ut programvara och administrera uppdateringar utan att användaren behöver vara lokal administratör eller ens veta om att programvara installeras. Att gå igenom all funktionalitet här skulle ta alldeles för lång tid, jag rekommenderar intresserade att titta på de olika demofilmerna de har upplagda på sin webbplats. Det mesta är precis så lätt som de visar och systemet är mycket flexibelt och lättarbetat. De PC-admin jag har visat det för har blivit duktigt avis när man jämför med hur pass komplicerat det är att distribuera programvara genom GPO på windowssidan.

Frågor på detta?

Det talas om uppgradering till 2k8r2, och jag tror några servrar är uppgraderade, men de flesta (är väl 4 eller 5 domänkontrollanter) är 2k3.
AD-pluggen är den som medföljer OSX, i nuläget ser vi ingen anledning att byta ut den.

Om ni tittar på Casper-videona så kan ni ju se hur otroligt smidigt man kan skjuta ut Adobe-programvara, nästan enklare än Office (japp, de har lagt mycket tid på det;))

ADmitmac är ett alternativ, jag tycker dock det verkar lite väl dyrt för vad man betalar för. En del av den funktionaliteten finns redan i OSX. Dessutom finns inte den möjligheten att distribuera programvara med admitmac som med casper. Då hade man fått köpa in en ytterligare produkt, Det som admitmac möjliggör är ju att man kan strunta i den magiska triangeln, men det får man "på köpet" om man har en OSXS och admitmac är ju riktigt dyrt.

F'låt, var ett tag sen jag tittade till den här tråden.

Ett ingångsvärde för detta system är att datorerna uppgraderas till 10.6, vi har valt att inte "tillåta" äldre system/maskiner. Inte för att det inte fungerar, utan mer för att förenkla för oss som jobbar med det, vi slipper hålla reda på massa olika version. Dessutom bör folk ha moderna datorer så vi byter successivt ut alla powerpc-maskiner och uppgraderar till 10.6.
Just nu ligger ca 100 maskiner i systemet, men när det rullas ut i större skala kan vi nog närma oss 2000 maskiner.

Nätverksproblem har vi inga. Universitetet gjorde för något år sen en rejäl uppryckning och institutioner har dubbelmatade 1GBit-linor med övervakad utrustning i alla hörn. Servrarna står på 3GBit (LACP).