macOS CatalinaがOpenLDAPへの認証に失敗する - TechRepublic

他にもこの問題に遭遇した人がいるかどうか気になります。

ということで、約30台の新しいiMacをネットワークに統合する必要があります。ネットワークは主にLinuxとFreeBSDで構成されています。すべてのホストはFreeBSD上で動作するOpenLDAPサーバーに認証され、すべてのホームディレクトリはautofsでZFSサーバーにマウントされています。OpenLDAPはTLSを使用しています。

Catalinaを新規にアップデートインストールし、RFC2307と適切なバインディングを使用してLDAPディレクトリを問題なく設定できました。これまで動作させるには、特定のSASLメソッドを無効にする必要がありました。これは以下の手順で行いました。

for m in CRAM-MD5 DIGEST-MD5 LOGIN NTLM PLAIN GSSAPI; do
/usr/libexec/PlistBuddy -c “add ':module options:ldap:Denied SASL Methods:' string $m” /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap1.plist
done

ディレクトリ ユーティリティ/ディレクトリ エディタを使用すると、すべてのユーザーを表示でき、ロックをクリックして正常に認証し、すべてのユーザーの詳細を表示できます。

「sudo su」でログインしたターミナルを使用して、「su” は問題なく、ユーザーアカウントが読み込まれ、ホームディレクトリの自動マウントも完璧に機能しました。どのユーザーでも “id” を実行してユーザーの詳細を表示します。 “dscl localhost -list /LDAPv3/ldap1/Users” を実行すると、ユーザーの完全なリストが正しく返されます。

問題は、GUI、SSH、または「su」経由でログインしようとすると、” を sudo なしで実行しました。ログインに失敗しました。ログには次のように表示されます。

opendirectoryd はパスワード属性を見つけました – 'crypt' という非常に低いセキュリティ方法を使用しています
opendirectoryd のパスワードが無効です opendirectoryd ODRecordVerifyPassword が失敗し、結果 ODErrorCredentialsInvalid が発生しました

LDAPサーバーは、SHA512（別名$6$）を用いた{CRYPT}方式でパスワードを保存し、暗号化に利用しています。これはLinux/BSDクライアント（Windowsではp-Ginaを使用）であれば問題なく動作します。この暗号化方式を変更するには、すべてのユーザーがパスワードを変更する必要があるため、非常に困難です。ユーザーは90日ごとにパスワードを変更する必要があり、そのスケジュールをずらすと、変更に永遠に時間がかかります。

昨年、まさにこの設定を使用して、Mojave MacBook を数台問題なく動作させていましたが、問題を回避するために固定されたスキーマと構成を強制しているため、LDAP はそれ以来変更されていません。

問題はCatalinaが「crypt」を否定していることから生じているように思いますが、どんなに検索してもアイデアが全く出てきません。つまり、もうアイデアが尽きてしまったのです。他に何が起こっているのかご存知の方はいらっしゃいますか？

ご意見をいただければ幸いです。