使用Open Directory(从10.8)升级到OS X 10.10客户端和服务器后,我们得到了一个有趣的新问题。 当用户更改密码时(使用系统偏好设置或在login屏幕上),似乎Kerberos凭据不刷新/刷新/更新。 所以,当它们到期时,试图更新它们(10小时后)触发我们的最大失败尝试限制并locking用户。 我可以看到, kcm守护进程是10小时后运行的,最终导致了locking。 我可以看到使用klist密码更改不会更新凭据。 此外,caching的凭据(在7天的窗口内)似乎导致用户使用的任何机器(我们的用户移动很多)。 所以这不仅仅是在密码改变的机器上发出kdestroy的问题。 任何想法发生了什么? 为什么OD能够在目录中的所有机器上同步所有内容? 我只需要禁用凭证caching? 这在10.9之前是不是一个问题?
我追溯了一直困扰着我们的“简单”问题: Kerberos票据不与OS X Open Directory密码更改同步。 另一种方法来说明: 过期/过期票证更新请求正在使用旧密钥签署,直到机器重新启动。 我怎样才能让这些重新同步?
我试图让一些客户端OS X机器使用单独的LDAP Open Directory服务器自动validationQNAP共享。 (注意:我使用下面的example.com来隐藏真实的服务器名称,因为它现在已经暴露了) networking有: 运行Open Directory的OSX Server计算机(例如,服务器是master.example.com) 多个OSX客户端机器使用networking帐户连接和validation服务器。 到目前为止,这部分工作很好。 我现在增加一个单独的QNAP NAS作为文件服务器(一个TVS-871T供参考),例如叫做server.example.com 我已将QNAP Nasconfiguration为在域安全性控制面板中使用OSX服务器进行LDAP身份validation。 Server: master.example.com Base DN: dc=master,dc=example,dc=com Root DN is the Open directory admin: uid=keymaster,dc=master,dc=example,dc=com Users Base DN is: cn=users,dc=master,dc=example,dc=com Groups Base DN is: cn=groups,dc=master,dc=example,dc=com 我可以看到QNAP界面中的networking用户和群组,并让他们访问共享。 我可以从一个afp客户端(Cmd + K)手动安装共享并input用户名和密码。 到现在为止还挺好。 现在的问题..我试图让所有的networking帐户login时自动安装共享。 通常我会在OSX服务器configuration文件pipe理器中将其configuration为经过身份validation的networking安装(在安装操作期间自动使用用户的networking帐户进行身份validation)。 如果它是打开的目录主机本身的一个份额,则testing和运行良好。 但是,当我尝试在QNAP驱动器上自动安装共享时,客户端会popupauthentication窗口。 这似乎是说它无法login到它。 即使我重新input密码,它仍然不想login。 控制台在NetAuthSysAgent AFP_OpenSession – Login failed with […]
我正在将计算机填充到我们的Apple OpenDirectory(在10.5服务器上运行)。 我的脚本会输出这样的文件: 0x0A 0x5C 0x3A 0x2C dsRecTypeStandard:Computers 6 dsAttrTypeStandard:RecordName dsAttrTypeStandard:Comment dsAttrTypeStandard:ENetAddress dsAttrTypeStandard:GeneratedUID dsAttrTypeStandard:Keywords dsAttrTypeStandard:RealName XXX-1to1-47-Fai:Asset 01015:00\:19\:e3\:3c\:07\:28:1A964A90-ADB1-44D5-BA44-EE3B5C8255CA:1A964A90-ADB1-44D5-BA44-EE3B5C8255CA:XXX-1to1-47-Fai XXX-1to1-20-Bre:Asset 01012:00\:19\:e3\:3e\:a1\:fb:D3083AFF-8B62-4D74-B483-68BF40F41069:D3083AFF-8B62-4D74-B483-68BF40F41069:XXX-1to1-20-Bre 然后导入它,如下所示: dsimport -g machines.txt "/LDAPv3/127.0.0.1" "O" -u diradmin -p diradmin_password -y remote_host -yrnm diradmin -yrpwd diradmin_password 由于我不明白的原因,它无法导入我设置的GeneratedUID字段。 相反,它自己创build一个。 当我看着这样的结果 dscl -u diradmin -p remote_host -readall /LDAPv3/127.0.0.1/Computers 我明白了 dsAttrTypeNative:apple-generateduid: 3247AAC8-CB4C-47B0-A97C-167722480C0E dsAttrTypeNative:apple-keyword: D3083AFF-8B62-4D74-B483-68BF40F41069 dsAttrTypeNative:apple-ownerguid: 9DD42971-FD0D-4232-931C-FB42507B3185 dsAttrTypeNative:apple-realname: XXX-1to1-20-Bre dsAttrTypeNative:cn: […]
我有一个问题,最近打破了我们的Mac客户端(10.5&10.6)到OS X服务器(10.5)的单点login。 主机似乎在客户端和服务器上正向和反向parsing。 子网在防火墙后面并使用10.0.1.xxx。 用nslookup进行初步testing似乎没有问题。 还有其他的testing/工具,我可以使用。 外部的DNStesting网站不会帮助,因为这是在防火墙后面… 谢谢 编辑:这是我做了什么打破事情…我手动删除区域0.0.10.in-addr.arpa下面的代码块。 我没有10.0.0.xxx子网和ServerAdmin恼人地不断添加它。 没有其他办法摆脱它,我遵循这个线程的build议。 我想现在我的问题是OS X服务器需要10.0.0.xxx由于某种原因? 为Kerberos? OD? networking仍然won though,虽然得到报告,一些服务正在工作!?! 啊DNS,我怎么爱你…. server:/etc/dns me$ more publicView.conf.apple acl "com.apple.ServerAdmin.DNS.public" {localnets;}; // // This is the view that is shown in Server Admin // This is an automatically generated file. // PLEASE DO NOT MANUALLY MODIFY THIS FILE! // Please make […]
当您通过工作组pipe理器/打开目录pipe理mac客户端上的设置时,可以通过两种方式validation其对客户端的影响。 打开一个terminal并运行mcxquery 运行System Profiler,然后从左栏selectSoftware – > Managed Client。 我期望他们能得到相同的结果,但是我不止一次看到他们没有。 他们为什么不同? 我认为他们应该是相同的吗? 附录:当偏好被实际合成时,这两者中的哪一个看起来与合成器一样?
我试图让我的老虎客户端绑定到一个打开的目录服务器在豹。 我能够将计算机绑定到目录,当我在Workgroup Manager中查看时,计算机正确显示,但没有任何设置显示在客户端上。 如果我尝试从客户端上的目录访问解除绑定客户端,它会删除,但客户端会popup一条消息:“无法联系LDAP服务器解除绑定,您想强制删除此configuration吗?”。 我能够让豹客户端成功绑定,并拉下他们的设置(OD服务器本身拉login窗口的变化)。 如果(绑定时)我使用dscl并尝试cd到OD我收到一条消息,该path是无效的。
我有一个OS X 10.5.8豹服务器,我在办公室pipe理。 现在它只有标准的VNC单一密码authentication方式来进行屏幕共享authentication。 我们的用户名和密码全部通过Leopard Server的Open Directory进行pipe理。 不幸的是,我找不到一种方法让屏幕共享在Open Directory中查找用户进行身份validation。 它只会对机器上正常的本地用户帐户进行身份validation。 我最喜欢的是屏幕共享在目录中查找用户。 这是可能的,如果是这样,怎么样?
我已经在Magic Triangle设置(双目录集成)中安装了一个新的Snow Leopard Server(10.6.4),但是无法从Workgroup Manager中pipe理首选项,并想知道是否可能会丢失一些东西。 我已经将它绑定到AD,运行“sudo dsconfigad -enablesso”,将服务器设置为OD主服务器,并检查我的DNS是否正确。 当我试图保存一个设置为1台计算机(例如,节能器每天晚上8点closures计算机)的设置时,我收到一个错误消息,说:“保存logging时出现错误”compname $“:目录系统架构不支持存储托pipe桌面设置。“ 这从WorkGrouppipe理器在控制台中给我一个消息,“DirServices [dsAddAttribute]错误:-14140” 另外,当我按下button来为我的Mac创build一个新的计算机组时,出现以下错误:“/SourceCache/WorkgroupManager/WorkgroupManager-361.3.1/PMMUGMainView的1268行上出现typeseDSNoStdMappingAvailable(-14140) .mm“这个相同的信息显示在控制台中。 在WM中,我作为域pipe理员身份validation到Active Directory,并可以看到来自AD的所有用户,用户组和计算机,但没有计算机组。 创build新用户,新用户组或新计算机的button变灰,只有新计算机组可用,但是如上所述,我实际上不能使用它。 其他可能有用的东西:在我的search策略中,AD列在OD之上。 我只绑定一台Mac客户机作为testing。 OD是目前在服务器上运行的唯一服务。
我的DirectoryService内存使用率高达1GB,没有什么有趣的事情导致它得到那么高。 这是Mac mini上的股票macos服务器configuration 有什么问题,我该如何解决这个问题