当我尝试删除OS X Server 10.6.2上的Workgroup Manager中的用户时,看起来好像用户被首先正确删除。 但是,刷新时,用户可以直接回到查看状态而不会出现任何错误消息。 我可以更改用户的任何属性,我目前的解决方法只是禁用真正应该删除的帐户。 当我这样做的时候,唯一可以报告的日志就是LDAP日志,这很合理,不幸的是这是一个相当无用的信息: slapd [4937]:SASL [conn = 22]失败:GSSAPI错误:未指定的GSS失败。 次要代码可能提供更多信息(找不到关键表项) 我GOOGLE了错误,但不能真正find解决办法。 有没有其他人看过这个,如果是的话,你是如何解决的?
我正在尝试将Kerio连接到一个Open Directory实例。 我正在使用kinit来testing设置,我得到以下内容: $ kinit -V -S host/[email protected] [email protected] Please enter the password for [email protected]: Kerberos Login Failed: Cannot resolve network address for KDC in requested realm 发生这种情况,即使我100%确定密码是正确的。 无论哪种方式,我更关心的是这个消息的部分 Kerberos Login Failed: Cannot resolve network address for KDC in requested realm 从服务器运行OD,第二个内部服务器我得到相同的错误消息。 我可以从两台服务器上正确地挖掘和ping server.domain.co.uk,所以它使我的脑海里有什么可能是错误的。 我需要这个工作之前,我可以前进,并连接到我的OD的Kerio实例。 edu.mit.kerberos [libdefaults] default_realm = SERVER.domain.CO.UK [realms] SERVER.domain.CO.UK = { admin_server […]
背景:我想使用Google Apps Directory Sync(GADS)来同步运行Open Directory的Mac OS X Server(10.9)中的用户帐户和密码。 GADS安装在Ubuntu 12.04 LTS虚拟机上,并成功configuration为将用户帐户从Mac OS X Server同步到Google Apps。 但是,我意识到它可能无法同步来自Open Directory的用户密码。 对于密码同步,GADS需要以下内容:密码属性,密码时间戳属性和密码encryption方法。 支持的encryption方法有:SHA1,MD5,Base64,Plaintext。 我正在使用JXplorer检查Open Directory LDAP模式,并注意到对authAuthority(Authentication Authority)的引用。 有两个标签为authAuthority的LDAP属性 – 一个包含Kerberosv5的值,另一个包含ApplePasswordServer的值。 根据我对“开放目录pipe理员指南”的理解,与其他LDAP目录不同,OS X不在LDAPlogging中存储密码 – 它使用“SASL”机制 – 查询“AuthenticationAuthority”属性来确定位置用户密码可以被检索。 任何人都能确认我的评估吗 此外,如果是这种情况,您能否确认这将阻止我根据其要求使用GADS? 还有一个“userPassword”属性,其值为:(非string数据)。 这可能是什么?
我有一个Mac OS X 10.6服务器,它充当开放目录的主人,并允许从开放目录用户的主目录进行文件共享。 今天,由于未知的原因,停止允许我们的打印机通过SMB连接到只有一个开放目录账号的用户(而不是一些拥有本地服务器账号的pipe理员)。 SMB日志用于显示validationOpen Directory用户的身份: /SourceCache/samba/samba-235.7/samba/source/auth/auth.c:check_ntlm_password(319) check_ntlm_password: Authentication for user [USER] -> [USER] FAILED with error NT_STATUS_WRONG_PASSWORD /SourceCache/samba/samba-235.7/samba/source/auth/auth.c:check_ntlm_password(309) check_ntlm_password: authentication for user [USER] -> [USER] -> [user] succeeded 现在它不做第二步,它将它转换成小写字母的名字; 它只是做最初的失败,然后显然停止尝试。 但是,对于拥有本地帐户的用户(至less这是我迄今为止发现的唯一原因/效果链接),它仍然会进行大小写转换并让它们进入。 打印机允许扫描到用户的主目录,这是他们试图连接的共享。 他们仍然可以通过SMB从桌面连接来访问共享,在这里他们input一个小写的名字(或者甚至是他们的全名,check_ntlm_password行可以很好地转换成正确的用户名)。 我还有什么可以尝试find这个问题的底部?
我有一台Mac OS 10.7服务器,以及一所学校的10.6.8个客户端。 在过去的一年半中,networking帐户可以毫无问题地login到客户端。 Workgroup Manager中有一组预设用于正确的默认组(员工vs学生),主目录path等。 从5月份开始,所有新账户都不能login到10.6.8客户端。 旧帐户(5月以前创build)仍然可以,而不仅仅是caching的凭据(客户端被擦除和恢复)。 一个OS 10.7.4客户端可以使用新帐户login,而不是10.6.8。 我已经检查了所有通常的主题(DNS问题,path问题,文件权限)和日志 – 什么都没有。 我可以使用新帐户(Connect As …)连接到共享,只是无法login。 任何人有任何想法? 我已经用尽了我所能想到的。 我觉得有趣的是,我们在10.7.4更新的同时开始出现问题。
我们目前在Windows SBS 2011 Essentials服务器上有大约15个用户。 我刚刚被告知,我们计划把约15个用户将使用Mac。 我们将使用Mac服务器来pipe理15个新的Mac,但是,我正在寻找如何最好地设置这一切的build议。 理想情况下,我只是将15个新的Mac用户添加到Active Directory中,并将Mac服务器设置为针对AD进行身份validation。不幸的是,SBS 2011 Essentials服务器限制为25个用户,因此,将这些新用户添加到AD将无法工作,除非我们升级Windows服务器(我宁愿避免,因为它是很多的工作和很多钱)。 这使得只能在Mac服务器上为这15个Mac用户创build用户帐户。 这个问题是由于我们现在使用不同的系统进行networking身份validation,所以我如何共享Mac用户和Windows用户的文件。 任何build议(短期升级到SBS标准)高度赞赏。 谢谢,哈利 PS我们不会在我们的服务器上运行Exchange或其他任何东西……它主要用于通过组策略来共享文件和执行安全性。
我有一台运行Snow Leopard Server的XServe(10.6.2)。 它有一些本地pipe理员帐户,它也是一个OpenDirectory主。 我今天早些时候注意到,我无法通过VNC连接使用本地pipe理员凭证login。 但是,我可以用一个目录帐户login。 login后,我可以提升权限以使用本地pipe理员帐户凭据执行任何特权操作。 即使重新启动,我也无法使用本地凭据login。 所以我打开目录实用程序,并将search策略选项卡修改为自动。 当我这样做时,我注意到它从search策略中删除了LDAP目录,所以我应用了我的更改并注销。 正如你现在可以猜测的那样,我不能再用我的目录凭据login(因为我删除了它们:OOPS!)或者使用我的本地凭证(因为它们仍然不能工作)。 所以我的问题是双重的: 现在如何login到这台服务器没有看起来工作的凭据? 如果我能安装这台机器的磁盘,是否有configuration文件可以改变? 也许在单用户模式? 我如何才能使search策略像一直以来一样工作? (即,检查本地用户帐户,然后目录帐户)。 这曾经工作过,但正如我所说,似乎没有明显的原因停止工作。
我目前正在build立一些运行Mac OS X Server Snow Leopard的新Xserve机器。 其中一台机器将取代我们目前(老化)的Linux邮件服务器。 Linux机器运行的是(更早的)Dovecot版本,当然也是在引擎盖下,OS X Server也运行着Dovecot。 然而,Linux版本已被戳穿并被推荐使用mbox格式,而OS X当然要使用maildir格式。 这不是一个真正的问题,我希望mb2md.pl会为我处理这个… …但是我正在运行这个盒子,用户通过Open Directory进行身份validation,并将MailStore从默认位置移动到RAID分区。 用户在这台机器上不会有主目录,而且我对提供访问networking主目录犹豫不决,因为如果文件服务器出现故障,人们仍然可以收到他们的邮件,我宁愿把这个盒子保留下来。 然而,从阅读Dovecot文档看来,我必须为我的邮件服务器提供某种“主目录”(如果没有别的地方放置.forward文件)。 有没有一个可以接受的方式去做这件事? 我发现很less有关OS X如何通过服务器pipe理工具pipe理Dovecot的文档,而且我更喜欢通过GUI来保持configuration。 在命令行上处理Mac是完全可行的,但并不是最佳的。 注释? 任何人?
我试图将Windows 2008 SBS服务器绑定到OS X打开目录,但“更改域”button灰显出此消息: Note: The identification of the computer cannot be changed because: – The Certification Authority Service is installed on this computer. 我如何删除证书颁发机构服务?
我有三个地点,在我们的主要地点有OD Master,在每个Off-site地点有OD Replicas。 我一直将客户绑定到OD Master,因为Open Directory Admin文档中提到: “LDAPv3插件完全支持Open Directory复制和故障转移,如果Open Directory主服务器不可用,插件会回退到附近的副本。 但是,客户是否会select最近的复制品(以获得更快的响应),还是仅在OD Master失败的情况下? 我们最近有一名员工将第三个地点的一些客户绑定到当地的OD副本。 当服务器出现故障(Snow Leopard服务器)时,本地工作站(Snow Leopard)发生了authentication问题,插件也没有查找副本树,但是只能下载? 我认为,在10.3或10.4天后,可以将客户绑定到OD Master和OD Replica,然后设置首选的search顺序,但我有一个模糊的回忆,客户(在10.5也许)会抱怨,如果它已被绑定到同一副本树中的服务器。 我记得是否正确或将是在我们的其他地点configuration客户端的正确方法? 第二和第三的位置是点到点的T1和VPN,所以我真的想要我们的开放目录设置正确和优化。