我试图了解与OS X 10.10埃尔卡皮坦pf的问题。 我已经安装了sshguard,并试图通过添加工作 table <sshguard> persist block in quick proto tcp from <sshguard> 进入/etc/pf.conf。 这里的问题是,虽然pf确认表和IP地址确实被添加到该表,而sshguard运行时,他们永远不会被阻止。 它曾经工作正常,但我不记得是否是在10.9或10.10之前更新。 pfctl -t sshguard -T的输出显示为“假”IP: No ALTQ support in kernel ALTQ related functions disabled 10.20.30.40 系统日志消息重复: sshd[818]: error: PAM: authentication error for admin from 10.20.30.40 via 192.168.1.2 sshguard[799]: 10.20.30.40 has already been blocked
在Mac OS X Server 5.2(Sierra)上创build用户时,可以在以下位置创build用户: 本地目录(这只是本地用户) 要么 本地networking目录(实际上是开放式目录服务(LDAP)) 问题在于,本地networking目录(LDAP)中的用户无法在Samba中添encryption码,因此无法通过SMB进行身份validation,显然无法使用Windows计算机上的共享。 但是,当用户是OS X服务器上的本地用户时,相同的Windows计算机可以连接到SMB共享。 相同的本地networking目录(LDAP)用户可以从Mac计算机通过AFP连接到文件共享服务。 我怎么能以某种方式存储/添加本地networking目录用户的密码到Samba? 在Linux中,需要使用smbpasswd -a将用户添加到Samba身份validation,但是如何在Mac OS X 5.2(Sierra)中完成? 非常感谢!
有没有一种方法获得密码散列的命名LDAP用户,其中用户在运行OSX Sierra和MacOS服务器5.2的MacOS服务器上的Open Directory中定义? 我的用例: 我在Docker容器中使用Jenkins设置CI / CD节点,该容器将运行在运行MacOS服务器的服务器上。 我希望Jenkins容器能够被安全的使用服务器的LDAP打开目录进行安全保护,也就是说,想要修改Jenkinsconfiguration的用户需要使用他们自己的networking用户/密码login到Jenkins。 作为configuration的一部分,我需要将XML文件( config.xml )复制到Jenkins主目录中,并且该文件需要包含保护LDAP系统的用户的哈希密码。 我认为密码哈希存储在一个encryption的目录,因此我想知道如何检索它。 我希望整个部署脚本是自动化的,所以我需要能够为命名用户检索哈希(或重新创build它),以便将其注入到将要放入Jenkins主目录中的XML文件中目录。
我遇到了一些OSX在用户文件夹第一次login到Mac时设置奇怪的权限( Everyone/Deny/Delete )的一些麻烦,我没有足够的经验,以使Mac正常工作。 我们的文件服务器和域控制器是Server 2012 R2,我们有一个迷你Mac服务器和Mac客户端连接到Active Directory在“黄金三angular”configuration。 用户的主目录在主文件夹下的AD中设置,并使用SMB(无AFP服务器)指向\\fileserver\networkshare$\<username> 。 我们有几个文件夹redirectGPO的video/图片/音乐/文件,指向\\fileserver\networkshare$\username\<folder> 。 用户首先login到Windows计算机,一切正常,然后在第一次login到Mac计算机时,会在用户文件夹中创buildLibrary/Spotlight etc文件夹,然后应用Everyone/Deny/Delete到用户文件夹,不只是Library/Spotlight etc文件夹,然后不能映射他们的目录,因为它不能访问它。 如果此时login到Windows端,用户将无法访问其驱动器。 如果用户首先login到Mac机器,文件夹被正确创build,只有Library , Desktop和Downloads文件夹获得拒绝权限(这似乎很好)。 当用户第一次login到Windows后,剩余的文件夹被创build并且工作…直到他们再次login到Mac机器,然后用户文件夹的所有子文件夹都获得拒绝权限(但不是用户像之前的文件夹) 据我所知,OSX应用Everyone/Deny/Delete权限来保护其他用户正在访问的用户文件夹是正常的,但是与Windows有冲突,我无法弄清楚。 也许有一个最佳实践的文件夹结构,我不知道或设置的地方,但我认为我缺乏OSX知识限制了我。
在10.12服务器上设置macOS afctl(自适应防火墙)。 我们在10.11服务器上遇到了这个问题,许多在线讨论都报告说,这个东西在10.10和10.11上没有发挥作用。 所以我在10月12号踢轮胎 (是的,我们知道10.13已经出来了,我们已经决定让其余的人成为下一天的试验品)。 我有手动添加IP地址的工作,但我需要触发afctl规则与login错误,以确保新的malefactor被添加。 我不知道如何做到这一点。 我只是故意搞砸了一个SSHlogin几次,但它并没有阻止我的IP。 所以我正在考虑编写一个ssh攻击脚本,或者可能会ping服务器(今晚晚些时候,没有人会介意是否会减慢办公室networking的速度)。 任何想法,我怎么能做到这一点? 是的,这只是为了白帽的目的。
我正在使用Xserve版本10.5.7,当我尝试更改任何客户端的密码时,出现以下错误:“无法设置密码,所有其他设置已保存.Erro 14120”。 谁能帮我这个。 谢谢
我正在将计算机填充到我们的Apple OpenDirectory(在10.5服务器上运行)。 我的脚本会输出这样的文件: 0x0A 0x5C 0x3A 0x2C dsRecTypeStandard:Computers 6 dsAttrTypeStandard:RecordName dsAttrTypeStandard:Comment dsAttrTypeStandard:ENetAddress dsAttrTypeStandard:GeneratedUID dsAttrTypeStandard:Keywords dsAttrTypeStandard:RealName XXX-1to1-47-Fai:Asset 01015:00\:19\:e3\:3c\:07\:28:1A964A90-ADB1-44D5-BA44-EE3B5C8255CA:1A964A90-ADB1-44D5-BA44-EE3B5C8255CA:XXX-1to1-47-Fai XXX-1to1-20-Bre:Asset 01012:00\:19\:e3\:3e\:a1\:fb:D3083AFF-8B62-4D74-B483-68BF40F41069:D3083AFF-8B62-4D74-B483-68BF40F41069:XXX-1to1-20-Bre 然后导入它,如下所示: dsimport -g machines.txt "/LDAPv3/127.0.0.1" "O" -u diradmin -p diradmin_password -y remote_host -yrnm diradmin -yrpwd diradmin_password 由于我不明白的原因,它无法导入我设置的GeneratedUID字段。 相反,它自己创build一个。 当我看着这样的结果 dscl -u diradmin -p remote_host -readall /LDAPv3/127.0.0.1/Computers 我明白了 dsAttrTypeNative:apple-generateduid: 3247AAC8-CB4C-47B0-A97C-167722480C0E dsAttrTypeNative:apple-keyword: D3083AFF-8B62-4D74-B483-68BF40F41069 dsAttrTypeNative:apple-ownerguid: 9DD42971-FD0D-4232-931C-FB42507B3185 dsAttrTypeNative:apple-realname: XXX-1to1-20-Bre dsAttrTypeNative:cn: […]
我有一个问题,最近打破了我们的Mac客户端(10.5&10.6)到OS X服务器(10.5)的单点login。 主机似乎在客户端和服务器上正向和反向parsing。 子网在防火墙后面并使用10.0.1.xxx。 用nslookup进行初步testing似乎没有问题。 还有其他的testing/工具,我可以使用。 外部的DNStesting网站不会帮助,因为这是在防火墙后面… 谢谢 编辑:这是我做了什么打破事情…我手动删除区域0.0.10.in-addr.arpa下面的代码块。 我没有10.0.0.xxx子网和ServerAdmin恼人地不断添加它。 没有其他办法摆脱它,我遵循这个线程的build议。 我想现在我的问题是OS X服务器需要10.0.0.xxx由于某种原因? 为Kerberos? OD? networking仍然won though,虽然得到报告,一些服务正在工作!?! 啊DNS,我怎么爱你…. server:/etc/dns me$ more publicView.conf.apple acl "com.apple.ServerAdmin.DNS.public" {localnets;}; // // This is the view that is shown in Server Admin // This is an automatically generated file. // PLEASE DO NOT MANUALLY MODIFY THIS FILE! // Please make […]
最近引起了我的注意,我们的服务器上用户的主文件夹具有组读取权限。 其中的子文件夹 – 文档,电影,图片等没有组权限,但在主文件夹顶层创build的任何文件和目录本身都具有组读取权限。 (如果这些客户机是本地帐户,则每个用户都将在自己的组中,因此自然限制了组访问。) 现在修复当前主文件夹的最佳方法是什么,并删除所有未来创build的帐户的组读取权限? 我注意到每个家庭文件夹目前有一个ACL“组:每个人都拒绝删除”,我可以添加另一个ACL作为一个快速解决? 在WM中,所有用户都默认放在“staff”组中。 干杯。 PS。 我当然意识到这个例外是Public和Sites应该是+ rx PPS。 我正在运行OS X Server 10.5 Leopard(10.5.8)
我已经安装了Snow Leopard Server 10.6.1作为PDC,没有问题来validationWindows XP客户端。 将Windows XP客户端连接到SLS PDC域并从Windows XP客户端login到SLS PDC域正在工作。 在更新到Snow Leopard Server 10.6.2之后,身份validation被破坏。 opendirectory_smb_pwd_check_ntlmv1 gave -14090 [eDSAuthFailed] 通过将Windows XP“networking安全:LANpipe理器身份validation级别”策略更改为NTVLM2 responses only身份validation重新NTVLM2 responses only SMB共享是可能的,但尝试joinSLS PDC域仍然是不可能的。 opendirectory_smb_pwd_check_ntlmv2 gave -14090 [eDSAuthFailed] 有任何想法吗? 是否有其他人有类似的authentication困难?