Kerberos realm kann von Clienten im lokalen Netzwerk nicht gefunden werden.

K

killajoe

unregistriert
Thread Starter
Dabei seit
19.06.2009
Beiträge
7
Reaktionspunkte
0
Mac OS X Server Leopard mit allen Updates.
Erweiterte Installation.

Open Directory Master läuft doch nachdem ich Verzeichnis nutzen wollte habe ich kerberisiert danach lief Kerberos auch nur konnten lokale Clienten den Realm nicht finden und haben so keine möglichkeit Einträge hinzuzufügen.

Lesen funktioniert mit dem Adressbuch so wie mit Verzeichnis.
Am Server selbst als user angemeldet funktioniert alles.

Nach einem Neustart ist nun im Server Admin Kerberos als abgeschaltet angezeigt und ich kann den Arbeitsgruppenmanager nur noch lesend starten.

egal ob als 'root' 'directory admin' oder 'server admin'...

DNS läuft und ist richtig eingerichtet (denke ich) und alle anderen Dienste wie Filesharing iCal und Mail funktionieren einwandfrei (Na fast ;)) iCal findet anscheinend die user aus dem Directory nicht ...

Kann auch gerne noch genauer erläutern wie DNS eingerichtet ist und wie die Netzwerkstruktur aufgebaut ist wenn das helfen sollte..

Gibt es die Möglichkeit mit 'kerberosautoconfig' nur den Kerberos erneuern oder geht das nur wenn ich den OpenDirectory Master neu erstelle?


--------
Ich bin zwar relativ neu am Mac System aber seit mehr als 10 Jahren Linux Server Admin ...

Und gerade dabei auf einem Xserve ein Office System für Architekten aufzusetzen.
 
Zuletzt bearbeitet:
Na hier wird man ja nicht mal begrüßt?
 
Für Kerberos muss DNS laufen. Dabei muss die Vorwärts UND Rückwärtsauflösung korrekt sein. Der Server-Admin hat da einen kleinen Bug wenn man mehrere Aliase hat. Dann passt manchmal die Rückwärtsauflösung nicht mehr und man muss sie von Hand anpassen. Dann sollte Kerberos auch wieder funktionieren.
 
Danke für die Antwort... ich dachte schon man kann da garnix mehr richten!

Ja DNS läuft mit mehreren Alias ... da ich bei MAC noch relativ neu bin wäre ich für eine Pfadangabe dankbar weil die sind schon etwas irreführend für einen eingefleischten Linuxianer ;)

/etc/dns/publicView.conf.apple hab ich ja schon gefunden aber Rückauflösung müsste ja dann unter /var/named zu finden sein da gibts:

--------------------------------------
db.178.168.192.in-addr.arpa. named.ca
db.meindomainname.de. named.local
localhost.zone zones
--------------------------------------

und unter /var/named/zones

--------------------------------------------------------------------------
db.178.168.192.in-addr.arpa.zone.apple db.meindomainname.de.zone.apple
--------------------------------------------------------------------------

wobei: 192.168.178.100 der Server ist und 192.168.178.1 der Router...

Ist eben nur ein kleines Office mit 4 Arbeitsplätzen einem Netzwerkdrucker dem Xserve die alle hinter dem Router sitzen der Router verwaltet die Clienten IP's der Server hat eine feste IP in den Netzwerkeinstellungen und die ist dem Router bekannt...

Der DNS-Server des Xserve kennt nur sich selbst:

meindomainname.de. Primärzone
meindomainname.de. Computer 192.168.178.100
www Alias meindomainname.de.

178.168.192.in-addr.arpa. Rückauflösungszone
192.168.178.100 Rückauflösung meindomainname.de.


host www.meindomainname.de gibt:

www.meindomainname.de is an alias for meindomainname.de.
meindomainname.de has address 192.168.178.100



Das apple Server Handbuch für "command line administration" hilft einem ja recht wenig...:confused:

Ich hab den O'Reilly Mac OS x als Groupwareserver schon kaputt gelesen aber das ist ja auch nicht besonders tiefschürfend ein Tip für tiefergehende Lektüre wär mir auch lieb.
 
Zuletzt bearbeitet:
Wäre interessant zu lesen, wie es hier weitergeht. Habe hier nämlich ein ähnliches Problem und bin auf die Auflösung von killajoes Problem gespannt...

zum Thema O´Reilly kann ich mich nur anschließen. Da wird einiges vorausgesetzt und die Beispiele sind leider nicht ausführlich genug. Und auch die "Mac OS X Server Essentials" von Regan/Pugh sind an der Stelle nicht so richtig hilfreich.

looking fwd...
 
Ich weiß nicht wo die Dinge im Filesystem "verteckt" sind. Weil diese Dinge lassen sich alle über das Programm Server-Admin regeln.

Server -> DNS -> Zonen

Dann die jeweilige IP auswählen und dann kann man im unteren Fenster den gewünschten Namen aus den zugeordneten auswählen. Zum Schluss nur auf Sichern.
 
Dann weiss ich jetzt was du meinst... in den DNS Einstellungen macht der Server-Admin ständig sowas wie autovervollständigen... das ist nicht mein Problem ich habe die DNS Einstellungen schon berichtigt gehabt...

Aber ein Bug ist es trotzdem ich hatt einen Eintrag der sich nicht mehr löschen ließ zumindest nur halb... das konnte ich über "/etc/dns/publicView.conf.apple"

rauslöschen....

Ich denke die Einzige Möglichkeit wird wohl sein den ODM zu löschen und neu anzulegen... wo wir bei Bug 2 wären vorher unbedingt alle ODM user löschen ansonsten bleiben sie als Fragmente hängen... und man kann sie nicht mehr neu anlegen...

Und danach versuchen nochmal zu "kerberesieren" vorher werde ich ein ODM Backup machen ...


Guter Plan?
 
Und? Ist es ein guter Plan? Es würde mich interessieren wie die Geschichte weiter geht. Hat das Vorgehen geholfen und das Problem beseitigt?
 
Also ich hatte lange ähnliche Probleme und nach Lösungen gesucht. Ich habe im Netz immer wieder das Gleiche gelesen und kann es für mich auch nur bestätigen. Alle Probleme von Kerberos kommen davon, wenn OpenDirectory und DNS auf unterschiedliche Namen auflösen. Der Name, der im OpenDirectory angegeben ist, muss unbedingt vorwärts auf eine IP auflösen und genau diese IP muss rückwärts wieder zum selben Namen führen. Wenn das passt, dann passt auch Kerberos.

Ich hatte seinerzeit lange damit zugebracht meine Probleme zu lösen, mit OD löschen und neu erstellen usw.

Daher, eigentlich steht es sogar in der Anleitung:
1. DNS einrichten (korrekte Vorwärts- und Rückwärtsauflösung)
2. OpenDirectory mit der richtigen Kerberos REALM einrichten.

Mit dem checkip-Skript kann man die Kerberos REALM ändern, falls man den DNS ändert. Außerdem muss bei jeder DNS-Änderung aufpassen, wenn man mehrere Aliase auf die IP laufen hat, dass in der Reverse-Zone für die IP noch der richtige Name steht.

Nur dann gibt es auch keine Probleme mit Kerberos. Wenn Du doch meinst es wäre etwas anderes, dann zeige es mir. Ich habe hier noch kein einziges Log-File gesehen.

PS: ich habe allerdings meinen Server auch nicht mit CLI-Admin herumgespielt (außer die DHCP-Anpassung, weil der neue dhcpd in Leopard ein Problem mit 2 aktiven Ethernet-Interfaces hat; außer der fetchmail-Installation). Weil eigentlich alle Probleme sich mit den GUI-Tools lösen lassen.
 
Nach meinem Verständnis sind meine DNS Einstellungen richtig ...
Aber ich bin kein Experte was das angeht.

Das einzige wo ich mir nicht sicher bin ist das der Domainname eine Subdomainadresse hat office.meinedomain.de meinedomain.de ist ein Stratoserver über den das Büro die öffentlich Webseite und den Maildienst betreibt.

Kann es sein das ich die Hauptdomain für den DNS-Server bekannt machen muss?

Kerberos logs habe ich gefunden aber gibt es logs vom DNS-Server?
 
Zuletzt bearbeitet:
Ich klinke mich hier mal mit ein:
(Ich kann das auch gerne in einen eigenen Fred setzen)
Ich bin auch gerad dabei, einen Server aufzusetzen. Dabei fällt mir auf, dass der bei Einrichtung eines OD Masters eingefügte LDAP-Suchbeginn nichts mit meinem konfigurierten DNS zu tun hat.
Es wird automatisch die IP eines Versatel DNS-Servers eingetragen.
(dc=89,dc=246,dc=64,dc=8)
Ändern kann ichs über den Server -Admin ja nicht.

1.Ich frage mich, wo der Server diese IP hernimmt.
2. Ich muss die ja meiner DNS-Config entsprechend einstellen. Warum kann man da nichts ändern?

Zusatzinfo: Bei der Installation des Servers befand dieser sich in einem LAN, dass per Router an der Versatel hing.

Inzwischen befindet sich der Sever allerdings in einem anderen LAN.

Jemand eine Idee?
 
Zuletzt bearbeitet:
Hallo, ich hatte das gleiche Problem, das der Kerberos Dienst bei Neustart nicht mit hoch gekommen ist. Hab daraufhin weiter nach einer Lösung gesucht und bin auf folgende Support Dokument gestoßen:

http://support.apple.com/kb/HT3479

In diesem Dokument mal die Additional Informations lesen / anwenden.
Gruß
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten