Moin zusammen,
ich hab da mal ne Frage, die ich mir schon lange und immer wieder stelle.

Wenn ich mit einem Windows Client in einer Domäne arbeite, kann sich jeder Benutzer der einen Account hat an dem Rechner anmelden.

Wie sieht es aber beim Mac aus. Einen Server oder die Server.app gibt es ja nun nicht mehr.
Was ich möchte ist, dass ich auf dem Anmeldeschirm nicht n-Benutzer sehe, sondern eine Anmeldemaske habe und dass sich der Benutzer mit seinem Benutzernamen/Passwort über einen Server autorisiert anmelden kann.

- Geht das mit SAMBA als DC ?
- Gibt es noch etwas anderes als der UCS Server von Univention ?
- Welche Erfahrungen habt Ihr gemacht, bzw. wie habt Ihr das Problem gelöst ??

Vielen Dank schon mal für eure Anmerkungen, Hinweise und Tipps...

Beste Grüße aus dem hohen Norden

In den Benutzereinstellungen konnte man früher für den Anmeldebildschirm „Name und Passwort“ auswählen. Damit werden die Bildchen der auf dem Mac eingerichteten Benutzer nicht mehr angezeigt.
Wenn sich auf dem Mac auch „fremde“ Benutzeraccounts (nicht als Gast) anmelden sollen, dann brauchst du tatsächlich einen Server im Netzwerk, der die Benutzer und weitere Einstellungen liefert.

Ja. Hierbei sind "echte" Domain Controller allerdings ein veraltetes Konzept, das in den 1990er Jahren von Windows NT verwendet wurde. Ab Windows 2000 wurde das durch "Active Directory" abgelöst, also eine replizierbare LDAPv3-Datenbank.

Von Hause aus unterstützen alle Versionen von macOS (seit Mac OS X 10.4) Microsoft Active Directory, Apple Open Directory oder allgemeine LDAPv3-Systeme nach RFC 2703.

Man kann jedes bessere NAS und jeden Linux-Server so konfigurieren, dass er als Verzeichnisdienstserver für macOS arbeitet. Dazu würde ein Raspberry Pi für 50€ reichen.

Ich verwende seit vielen Jahren mehrere auf Linux laufende replizierte LDAPv3-Server, die ich mit einem von Hand maßgeschneiderten Verzeichnisdienstschema auf Basis des alten Open Directory betreibe. Das funktioniert ohne Probleme.

Am besten eine Synology NAS dafür verwenden. Das ist ein rundum sorglos Paket. Inkl. aller möglichen Verzeichnisdienste...

@Marcel Bresink
Ich habe schon ne ganze Weile recherchiert, aber irgendwie nichts brauchbares gefunden.
Hast Du einen Tipp, wo ich Anleitungen o.ä. finden kann ?

Wie aufwendig ist soetwas und was meinst Du mit "auf Basis des alten Open Directory" ?

@deus-ex
Eine Synology habe ich nicht aber ne QNAP. Eigentlich wollte ich den Weg aber nicht gehen.
Mir wäre eine Lösung auf Linux / SAMBA lieber. Entweder als VM oder tatsächlich auf einem RaspPi.

Auf dem QNAP läuft doch Linux und du kannst mittels Container doch alles installieren, worauf du Bock hast.

Dann schaue Dir mal FreeIPA an.

Wenn man noch nie mit LDAP gearbeitet hat, kann das schon aufwändig sein.

LDAP-Datenbanken enthalten normalerweise eine Meta-Datenbank, mit der der Aufbau der gespeicherten Nutzdaten beschrieben wird. Das ist das Verzeichnisdienstschema. Microsoft Active Directory und Apple Open Directory sind quasi die gleiche Technik, unterscheiden sich aber in diesem Schema. Das kann man durch Ändern der Meta-Datenbank anpassen. Ich verwende ein Schema, das aus Sicht von macOS so aussieht, wie das, was früher ein macOS Server verwendet hat.

Auf einem QNAP-NAS läuft ja Linux mit Samba. Im Prinzip könnte man das verwenden.

FreeIPA ist eine Verwaltung von Single-Sign-On-Diensten auf Basis von Kerberos. Das kann man mit einem Verzeichnisdienst verbinden, ist aber nicht wirklich das, wonach gefragt wurde.

och .. weisst Du. Das wäre nur ein weiterer Punkt um Lebenszeit zu vergeuden. Aber wenns es schlussendlich funktioniert ist doch alles gut

Das mit dem Linux und NAS Laufwerken (Synology oder QNAP) ist zwar fein, aber die verwendeten "Linux" Varianten sind dann doch eher als speziell zu betrachten.


Zu Deiner eigenen Lösung eine konkrete Frage:
Teilst Du Dein Wissen (auf die eine oder andere Art) ??

Um wieviele Benutzer geht es denn eigentlich? Welche Vorkenntnisse hast du?
Einfach den Anmeldebildschirm umzustellen recht dir anscheinend nicht da du auf meinen ersten Post nicht weiter eingegangen bist. Was sind also deine eigentlichen Ziele außer „Fortbildung“
Das, was Marcel beschreibt, ist ja eine größere Aktion und da investiert man dann schon einiges an Zeit und Aufwand. Lohnt sich das (für dich), damit sich möglichst „viele“ an einem / deinem Mac anmelden können?

Guckst du :

Google mit "Apple LDAP Schema" liefert einige Info

Sorry, dass ich mich falsch/ungenau ausgedrückt habe.
Also die "Fortbildung" ist für mich die Motivation ...

Ich habe mehrere Mac's (MacBooks und MacMini's) an denen ich mich, meine Kids unterschiedlich anmelden.
Auf den Mac's sind für mich unterschiedliche Profile angelegt. Somit habe ich 5-6 Anmelde Icons auf dem Startschirm und das wollte ich ändern.

Der Mac ist meine Arbeitsplatzfrom, dahinter laufen unterschiedliche Linux Derivate.
Linux/Mac KnowHow ist vorhanden, vielleicht nicht ganz so tief wie bei dem einen oder anderen, aber das ist ja normal.

Ich habe nur noch nie was in diesem Bereich gemacht. Also LDAP / Apple Open Directory ..
Was ich mich frage ist, ob das Einbinden (und die Bereitstellung von Shares) bei einem Mac dann genauso funktioniert wie z.B. bei Windows.
Also das
- Anmelden am Server
- automatische zuweisen und mappen von Verzeichnissen

Hoffe ich habe mich einigermaßen klar ausgedrückt.
Wie gesagt, ich habe mir den UCS (Core) Server schon mal "grob" angeschaut. Die Einbindung eines Mac's scheint aber nicht "einfach" zu sein, oder dass es Probleme gibt. Hinweise findet man im Forum.
Und wenn ich das Ganze mit Linux und SAMBA hinbekommen kann ... "why not"
Ich denke ich kann mich in das Thema einarbeiten und nachlesen und probieren. Etwas konkretes Nachlesen wäre aber auch fein

@DSkywalker
wow .. super vielen Dank

Hier noch eine Anleitung wie man einen OpenLADP Server auf Linux aufsetzt und mit macOS Clients verbindet.
Ist zwar schon etwas älter aber immer noch ein guter Ausgangspunkt.

Google abfrage war "linux directory server for macos clients"

Marcels Lösung hat bestimmt auch so angefangen und wurde dann halt von ihm über die Jahre verbessert und an die Eigenheiten der Implementationen von Seiten Apples angepasst...

Sorry für Hijacken...
Kann man das via LDAP so einstellen, dass das automatisch passiert?
Bei meiner Arbeit ist es so, dass dafür lokal auf dem Rechner ein Login Script läuft und das finde ich irgendwie nicht so elegant und manchmal funktioniert es auch nicht.

Ja, das geht, indem man Einträge vom Typ "Mounts" in der Verzeichnisdienstdatenbank anlegt.

Eine oberflächliche Einführung in das Thema Verzeichnisdienste erhält man, indem man (am besten über Spotlight) das Programm "Verzeichnisdienste" aufruft und dort das Bedienungshandbuch öffnet.

Danke dir! Ich bin an der Stelle ausschließlich Anwender mit mich betreuenden IT-Kollegen, die von, um es vorsichtig auszudrücken, nicht viel von Apple-Produkten halten.

Für mich sollte deine Aussage konkret genug sein, so dass die Kollegen sich nicht einfach wieder mit "das ist Apple, da geht so etwas nicht" herausreden können. Da der Admin an der Stelle gerade getauscht wurde und zusätzlich neues Metall ins Rack wandert, kommt dieser Thread und deine Antwort für mich zu einem guten Zeitpunkt.

Danke für den Hinweis, hast natürlich Recht...Ich kenne halt beruflich immer nur die Kombination SSO+Verzeichnisdienst also meist AD Anbindung, entweder früher direkt oder heute über SAML2.0...