Je cherche un moyen automatisé de configurer LDAPv3 sur OSx Catalina.
Il y a un niveau de complexité supplémentaire car nous avons besoin de définir une base de recherche personnalisée pour Automount, Groupes et Utilisateurs.
Avant Catalina :
/Library/Preferences/OpenDirectory/Configurations/Search.plist
/Library/Preferences/OpenDirectory/Configurations/LDAPv3/my_ldap_server.plistCes fichiers sont maintenant protégés en écriture, cependant le système d'exploitation semble toujours capable d'écrire dedans (ou plutôt la variante /System/Volumes/Data/Library/...)
Je ne comprends pas pourquoi sudo/root ne peut pas écrire dans ces fichiers car je ne trouve pas de lien clair limitant cela dans /usr/share/firmlinks
Je suis également ouvert à d'autres moyens automatisés de configurer des connexions LDAP au fait :)
EDIT : Veuillez noter que je ne cherche pas à modifier les fichiers mentionnés ci-dessus. Je cherche à automatiser la configuration LDAP ! Cela peut être fait dans les préférences système, et je cherche simplement un moyen en ligne de commande de faire la même chose.
0 votes
Si vous souhaitez contourner la protection en écriture des fichiers OS introduite dans Catalina, vous devrez désactiver SIP, après quoi vous pourrez remonter toutes les partitions avec un accès en lecture et écriture au lieu de lecture seule avec
sudo mount -uw /. Lors du redémarrage,/Systemet autres seront à nouveau en lecture seule, à ce moment-là, vous voudrez peut-être réactiver SIP.0 votes
Merci @Jivan Pal. Cela semble un peu trop d'efforts de redémarrer chaque MacBook, de les mettre en mode de récupération, de désactiver SIP et de le rétablir à chaque fois que j'exécute Ansible. Il doit y avoir un moyen d'automatiser cela. De plus, les fichiers sont modifiés si vous utilisez l'interface graphique. Cela signifie qu'ils ne sont pas en lecture seule. Je ne connais tout simplement pas l'emplacement 'réel' de ces fichiers
0 votes
"ce qui signifie que ce n'est pas en lecture seule" - en effet, ce n'est pas en lecture seule au sens strict du terme, personne n'est capable d'écrire dessus, c'est juste que aucun utilisateur normal (y compris
root) n'a les autorisations pour le faire; seules certaines tâches du noyau sont capables d'écrire à de tels emplacements. C'est le but de SIP. La seule solution qui ne nécessiterait pas de désactiver SIP serait d'écrire votre propre extension du noyau que vous installeriez via l'API DriverKit.0 votes
Alternatively, you can create a macOS "extension système" plutôt qu'une extension de noyau appropriée.
0 votes
Je ne peux simplement pas croire que créer un module de noyau ou une "extension système" est le seul moyen d'automatiser la configuration LDAP.
0 votes
Est-ce vraiment dû à SIP? Après tout,
/Library/Preferences/OpenDirectory/se trouve en fait dans le volumeDataà/System/Volumes/Data/Library/Preferences/OpenDirectory/qui reste inscriptible. Par exemple,mkdir /Library/Preferences/Logging/foofonctionne bien, mais pourquoi cela ne fonctionne-t-il pas pour son dossier frère avecmkdir /Library/Preferences/OpenDirectory/foo, qui échoue avecOpération non autorisée? Les dossiersLoggingetOpenDirectoryont les mêmes métadonnées de contrôle d'accès de toutes les manières que je puisse voir (sur macOS 13.5), et aucun ne figure dansrootless.confoufirmlinks.