Netzwerkaccount Anmeldung am Server schlägt fehl

[anderlk]

Hallo miteinander,

ich bin gerade dabei unseren OSX 10.5 Server auf Netzwerkbenutzer mit Homeverzeichnissen umzustellen.

Ich habe soweit auch alles konfiguriert und einen Testuser angelegt. Den Benutzerordner habe ich erfolgreich erstellen lassen. Am Server selbst kann ich mich auch schon mit dem Netzwerkaccount anmelden. Leider klappt es an den Clients nicht.

Laut Open Directory Logfiles "Kennwordienst Serverprotokoll" sollte der Login erfolgreich sein:

Jul 28 2010 11:56:55    GETPOLICY: user {0x4b8cca934eb84d1b0000001200000012, ak}.
Jul 28 2010 11:56:55    GETPOLICY: user {0x4b8cca934eb84d1b0000001200000012, ak}.
Jul 28 2010 11:57:08    RSAVALIDATE: success.
Jul 28 2010 11:57:08    AUTH2: {0x4b8cca934eb84d1b0000001200000012, ak} DHX authentication succeeded.
Jul 28 2010 11:57:08    KERBEROS-LOGIN-CHECK: user {0x4b8cca934eb84d1b0000001200000012, ak} is in good standing.
Jul 28 2010 11:57:08    KERBEROS-LOGIN-CHECK: user {0x4b8cca934eb84d1b0000001200000012, ak} authentication succeeded.

Nach der Eingabe des Passworts dauert es auch eine kurze Zeit, bis die Fehlermeldung "Anmeldung aufgrund eines Fehlers fehlgeschlagen" erscheint.

Am Client sind die Verzeichnisdienste konfiguriert. Im Anmeldefenster steht in der Statusleiste "Netzwerkaccounts verfügbar". Es werden auch alle verfügbaren Accounts aufgelistet.

Woran könnte das ganze liegen? Muss es an der Client Konfiguration liegen, weil es am Server funktioniert?

Danke, Anderl

 

[lutzministrator]

Hallo anderlk,

ich setze mich seit wir unseren xserve mit 10.6 haben mit diesem Thema auseinander und ich habe noch nichts frustrierendere erlebt als das! Mal geht es, mal nicht, mal kann man Netzwerkbenutzerordner anlegen, dann wieder nicht. Open Directory macht sich ziemlich selbstständig, d.h. es verliert oder verändert (!) meine Kennwortrichtlinien, seit neuestem werden diese auf die Replikas auch nicht mehr synchronisiert. Ich kann jetzt (nach einem Jahr Betrieb) auch keine Nutzer mehr anlegen, die sich auf dem Server anmelden können und einer meiner bestehenden Nutzer kommt auf nicht mehr drauf obwohl ich NICHTS an der OD verändert habe (und natürlich auch nicht an den Zugriffsrechten, Gruppen und sonstigen Diensten). Laut Serverprotokoll ist alles OK, weswegen mir jetzt wohl nichts anderes übrig bleibt als den ganzen Schlonz auf allen Servern komplett neu aufzusetzen, aber gut, so ist das halt...

Jetzt aber zu deinem spezifischen Problem. Es ist tatsächlich äußerst dubios, dass du dich auf deinem Server anmelden kannst, an deinen Clients aber nicht.
Hast du auf deinem Server auch Verzeichnisdienste konfiguriert oder findet er die selbstständig?
Hast du es mal ohne Kerberos probiert?
Stimmen deine DNS-Einstellungen, d.h. kann dein Servername sowie die IP richtig aufgelöst werden?
Hast du, nachdem du deinen OD Master konfiguriert hast nochmal irgendwas am DNS geändert?

Ich kenne das Problem mit exakt dieser Fehlermeldung, seltsamerweise hat es bei funktioniert nachdem ich die Serverdateiverfolgung zur Synchronisierung mobiler Benutzerordner aktiviert habe (allg. Einstellungen des Server im Server-Admin).

Ich hoffe Apple bessert da bald mal nach, da ich die Idee mit Netzwerkusern genial finde und umbedingt bei uns einführen möchte. Aber mit der momentanen Stabilität ist daran leider noch nicht zu denken...

 

[promille]

Wenn der Arbeitsgruppen Manager keine Änderungen erlaubt, hilf es normalerweise das OD über den Server Admin zu sichern, dann auf Standalone umstellen und dann wieder auf Open Directory Server.

 

[anderlk]

Hallo, zu deinen Fragen:

Hast du auf deinem Server auch Verzeichnisdienste konfiguriert oder findet er die selbstständig?

Die findet er selbstständig. Da hab ich im Moment nix konfiguriert.

Hast du es mal ohne Kerberos probiert?

Wie kann ich Kerberos deaktivieren?

Stimmen deine DNS-Einstellungen, d.h. kann dein Servername sowie die IP richtig aufgelöst werden?

Davon gehe ich aus. Per AFP kann ich mich als LDAP Benutzer einwandfrei mit dem Server verbinden.

Hast du, nachdem du deinen OD Master konfiguriert hast nochmal irgendwas am DNS geändert?

Ne, da wurde nichts mehr geändert.

@promille

Wenn der Arbeitsgruppen Manager keine Änderungen erlaubt, hilf es normalerweise das OD über den Server Admin zu sichern, dann auf Standalone umstellen und dann wieder auf Open Directory Server.

Der Arbeitsgruppen Manager erlaubt Änderungen. ich habs trotzdem mal probiert, Anmeldung schlägt trotzdem fehl.

 

[anderlk]

Anmeldung mit dem Netzwerkadministrator klappt

Hallo,

ich habe alle Einstellungen nochmals durchgegangen. Ich kann aktuell keinen Fehler am Server feststellen. Am Client leuchtet die Anzeige für Netzwerk Account Server auch grün.

Mit dem Netzwerkadministrator Account kann ich mich auch tadellos anmelden, nur eben mit den Client Accounts noch nicht.

Woran könnte es denn noch liegen?

Gruß Anderl

 

[promille]

Vielleicht in

ServerAdmin -> Server markieren -> Settings -> Access -> Services -> Login Window

nur das Einloggen des Netzweradmins erlaubt?

 

[anderlk]

Dort steht:
Für alle Dienste - Alle Benutzer und Gruppen zulassen.

Sollte also auch nicht das Problem sein?

Was ich auch nicht verstehe ist, direkt am Server kann ich mich ja als Netzwerkbenutzer anmelden, nur an den Client Rechnern eben nicht.

MFG Anderl

 

[anderlk]

Neue Erkenntnis

Hallo,

was ich jetzt noch rausgefunden habe ist, dass wenn ich im Arbeitsgruppenmanager kein Verzeichnis für Benutzerordner (ohne) angebe, bekomme ich die Fehlermeldung "Anmeldung aufgrund eines Fehlers fehlgeschlagen" beim Login nicht. Nach der Passworteingabe schüttelt kurz das Anmeldefenster (wie bei falscher Passworteingabe) und es passiert nichts. Ist eine Netzwerkanmeldung ohne Benutezrordner überhaupt möglich? Wenn ja und das einloggen klappt, dann könnte ich das Problem zumindest schon mal auf die Freigabe beschränken.

Danke, Anderl

 

[bjoern07]

Man kann sich ohne Benutzerordner anmelden. Du bekommst dann einen Hinweis, dass kein Benutzerordner gefunden wurde.
Hilft also nicht weiter.

 

[anderlk]

Ansatzpunkt

Das gibts doch nicht, es muss doch irgendeinen Ansatzpunkt geben.

So dann stellt sich mir jetzt die Frage, warum ich, wenn ich keinen Home Folder verwende plötzlich nicht mehr die Meldung bekomme, sondern nur noch ein Wackeln. Im ersten Fall hat er sich quasi eingeloggt, und dann sofort wieder ausgeloggt. Jetzt scheint er sich ja wohl gar nicht mehr einzuloggen.

Anderl

 

[Orange6]

Ich kämpfe seit Samstag EXAKT mit dem selben Problem und würd das Ding am liebsten eintüten und zurückschicken. Bist du irgendwie weitergekommen? Hast du beim initialen Setup des Servers einen Fehler bekommen?

Habe Server und Client mittlerweile bestimmt 10x neu installiert, ohne Ergebnis.

Vorhin gelang mir zwar erstmalig ein Login, allerdings war dann der Benutzerordner nicht erreichbar. Diesen Umstand konnte ich allerdinga bisher nicht wieder reproduzieren.

Selbst mit einem Windows Server und AD klappt die Integration der Mac OS Clients DEUTLICH reibungsloser

 

[Orange6]

Ein kleiner Unterschied: bei mir sind Server und Client 10.6 und im Anneldefenster bekomme ich kein "Netzwerkaccounts verfügbar", sondern nur dieses Netzwerkuser-Symbol "Andere...". Bin mir nicht sicher, ob das versionsspezifisch ist?

 

[bjoern07]

Direkt ÜBER der Liste der registrierten User steht Text, meist "Mac OS X 10.x.y" (oder der Computername? weiss ich jetzt nicht soo genau). Wenn Du da drauf klickst, wechselt er zu diversen Informationen.

 

[Orange6]

Ahh, danke... steht da wirklich

 

[bjoern07]

Hin und wieder klemmt da was gewaltig. Ich bin auch genervt davon, allerdings habe ich beim Kunden ein 10.5. Server und hier zum spielen einen 10.4.

Der Mac pro (mit Verzeichnisdiensten mit dem 10.5 Server verbunden) wollte auch trotz aller Reset-Aktionen, Combo-Updates, DNS-Cache löschen, etc. nix von den Usern des OD Servers wissen.

EDIT: "Network Accounts availabe" stand auch auf grün.

Im Zorn habe ich dann den Server per Netzwerkkabel mit meinem privaten MacBook pro verbunden, dort in den Verzeichnisdiensten den Server ausgewählt und alle User waren auf meinem Book sichtbar. Darauf habe ich den Server wieder mit dem Instutus-Netzwerk verbunden und der Mac pro hatte nach einer Minute alle User in seinem Anmeldefenster.

Als wäre da irgendwo ein Knoten geplatzt. Was genau passiert ist – keine Ahnung.

Jedenfalls bin ich auch von Mac OS X Server genervt, besonders, weil am Institut die DNS-Einstellungen seit langer Zeit einfach fix sind, die Rechner statische IPs haben und alles so ist, wie es Apple haben möchte, wenn man den Server installiert.

Wenn alle maulen, dass Apple am Mac OS X nix mehr tut, weil alles auf die iDinger fixiert ist, haben sie noch nie Mac OS X Server gesehen

 

[Orange6]

Hmpf, klingt nach einer weiteren Erfahrung, wie ich sie in ddn letzten Tagen häufiger gemacht habe mit dem Ding

Bin gerade am überlegen, das Ding einfach ohne OD laufen zu lassen. Es ist eh nur ein Homserver, aber hätte es schon gerne, sei es aus Ehrgeiz oder dem gesammelten KnowHow, sauber ans Laufen bekommen, sofern das überhaupt möglich ist.

 

[anderlk]

User werden im Anmeldefenster angezeigt

Also in meinem Fall werden alle OD Benutzer angezeigt. Ich kann diese auch anklicken, laut dem Log loggt sich der User auch ein, aber sofort im Anschluss wieder aus.

MFG Anderl

 

[Orange6]

Also OD Benutzer wurden bei mir noch nie angezeigt, ich mußte mich immer händisch anmelden und... es funktioniert jetzt sogar, inkl. Sync der Benutzerordner.

Bei mir lag das Problem einfach nur darin, daß ich mobile Useraccounts zulassen mußte. Das war die Lösung, jetzt funktioniert der Login an den Clients! Ich hoffe es ist auch die Lösung deines Problems!

Grüße
Andy

 

[Scherak]

Hi Anderl

Ich gehe sehr stark davon, dass mit der AFP-Zugriffberichtigungen bei dem Ordner, wo die Benutzerordner untergebracht sind, irgend etwas nicht stimmt. Hast du da die Default-Userverzeichnis-Freigabe verwendet oder ein neues angelegt?

Ich würde auch, wie schon erwähnt, testweise beim AFP-Protokoll Kerberos deaktivieren und nur Standardzugriff zulassen, um sicher zu gehen, dass da kein Kerberosproblem vorliegt.

Viel Erfolg!

 

[anderlk]

Zuerst habe ich einen eigenen Benutzerordner verwendet. Jetzt habe ich wieder auf den Standard zurückgestellt.

Im Anhang die Einstellungen unter File Sharing.

Kerberos ist bei AFP deaktiviert