Benutzerdefinierte Suche

Open Directory / LDAP

  1. turkey0815

    turkey0815 Thread StarterMacUser Mitglied

    Mitglied seit:
    08.08.2004
    Beiträge:
    25
    Zustimmungen:
    1
    Hallo,

    ich bin offensichtlich nicht der Einzige, der nach einem Update von Mac OS X Server Probleme mit dem OD hat. Ich habe hier im Forum ne Menge darüber lesen können, aber irgendwie passt mein Problem nicht so richtig zu den Lösungen.

    Nachdem ich Mac OS X Server ein Update auf 10.4.8 gegönnt habe, konnten die Clients nicht mehr auf ihre Home-Verzeichnis zugreifen. Die genaue Ursache weiß ich jetzt nicht mehr, aber ich glaube es gab Probleme mit dem Passwortserver. Ich habe dann den Open Directory Server neu konfiguriert. Der Server läuft jetzt auch ohne Probleme mit DNS und Kerberos. Ich habe einen neuen User angelegt und kann mich auch von meinem PowerBook unter diesem User anmelden. Leider funktioniert das von meinem Desctop-G4 nicht. Ich erhalte folgende Fehlermeldung: "Logging in to the account failed because an error occured. The home folder for the user account is located on an AFP or SMB server. Contact your system administrator for help."

    Der Systemadministrator bin ich, deshalb hilft mir die Fehlermeldung nicht weiter und das das Homeverzeichnis auf einem AFP Server liegt, wusste ich auch schon :) Mir ist diese Fehlermeldung nicht ganz neu, aber ich kann mich nicht mehr daran erinnern, wie ich das Problem gelöst habe. Eigentlich wollte ich mir die Vorgehensweise, wie ich den Open Directory Server aufgesetzt habe und die Clients erfolgreich in das LDAP-Verzeichnis eingebunden habe, immer mal notieren. An sich ist das ja aber gut dokumentiert, allerdings habe ich trotzdem immer 1-2 Tage mit Probieren zugebracht, bis es endlich lief. Am Ende wusste ich nie, was zum Erfolg führte.

    Da ich mich mit dem Desctop nicht mit einem User aus dem LDAP-Verzeichnis anmelden kann, möchte ich nun der Sache auf den Grund gehen und das möglichst ohne Blindflug mit den GUI-Tools. Ich hoffe ihr könnt mir hier ein paar Tipps geben, wie ich unter die Haube schauen kann.

    Die Verbindung zum LDAP-Server scheint zu stehen, denn im Anmeldefenster erscheinen auch die User, die im LDAP-Verzeichnis angelegt wurden. Das Problem besteht beim Zugriff auf das Homeverzeichnis, dass ja auf dem Server liegt. Ich bin mir nicht sicher, aber ich denke der Server ist o.k. weil es mit dem PB funktioniert.

    1. Frage: Mit welchem Aufruf im Terminal kann ich mir die Informationen ansehen, die vom LDAP-Server kommen oder testen, ob die Verbindung steht?

    Manchmal zeigte mir der Client aber auch Nutzer an, die schon gar nicht mehr im Verzeichnis waren. Wer spinnt hier, der Server oder der Client?

    2. Frage: Wie kann ich den LDAP-Server von Hand neustarten? Oder ist das nicht sinnvoll?

    3. Frage: Kann ich im Client die LDAP-Verbindung zurücksetzen?

    4. Frage: Wie heißt die Preference-Datei, die für das Verbinden mit den Netzwerkshares zuständig ist?

    Offensichtlich scheint es ja damit ein Problem zu geben. Ich gehe davon aus, dass das Share mit den Homeverzeichnissen beim Starten des Rechners verbunden wird, denn der Nutzer muss ja bereits beim Anmelden auf das Homeverzeichnis zugreifen können. Im Übrigen habe ich natürlich Netzwerkaktivierung für das Share mit den Homeverzeichnissen aktiviert.

    5. Frage: Kann ich den Anmeldevorgang eines Users aus dem LDAP-Verzeichnis im Terminal nachvollziehen?

    6. Frage: Welche Rechte muss das Share haben? Bei mir sieht das derzeit so aus: dr-xr-xr-x 16 admin staff 500 Nov 14 21:06 home01

    7. Frage: Gibt es auf dem Client auch irgendwelche Logfiles, wo ich schauen kann, welche Probleme es beim Anmelden gegeben hat?

    Für Hilfe wäre ich sehr dankbar.

    Gruß, André
     
    turkey0815, 15.11.2006
  2. richard_it

    richard_itMacUser Mitglied

    Mitglied seit:
    18.12.2004
    Beiträge:
    52
    Zustimmungen:
    0
    hab leider gerade stress, aber vielleicht kann ich was zur ersten frage beitragen:

    ipconfig getpacket en0

    (bzw en1 wenns zb über airport oder eine zweite ethernetschnittstelle gehen soll)

    tip: schau ganz genau im arbeitsgruppenmanager die pfade der home-ordner an, besonders anschließende slashs und so - haben alle user das selbe home, was ist im ag-manager bei der detailansicht unter home-folders zu finden?

    gutes gelingen

    richard
     
    richard_it, 15.11.2006
  3. turkey0815

    turkey0815 Thread StarterMacUser Mitglied

    Mitglied seit:
    08.08.2004
    Beiträge:
    25
    Zustimmungen:
    1
    Hallo Richard,

    danke für Deine schnelle Antwort. Das mit dem ipconfig hat mir Aufschluss darüber gebracht, dass die Verbindung zum LDAP-Server steht. Bei den Pfaden habe ich noch einmal nachgesehen. Sie scheinen alle zu stimmen, müssen sie ja eigentlich auch, den von meinem PowerBook kann ich mich ohne Probleme anmelden. Nur von meinem Desctop-G4 nicht und das, obwohl die selben Systeme (Mac OS X 10.4.8) installiert sind. Ich denke, es liegt an der Konfiguration des Desctop-G4s. Ich könnte jetzt ein neues System drüber bügeln, aber ich möchte diesmal der Ursache auf den Grund gehen ... mich nervt die Rumprobiererei total :confused:

    Kann mir noch jemand auf die anderen fragen antworten ? Wäre nett.

    Danke, André
     
    turkey0815, 15.11.2006
  4. turkey0815

    turkey0815 Thread StarterMacUser Mitglied

    Mitglied seit:
    08.08.2004
    Beiträge:
    25
    Zustimmungen:
    1
    Im Übrigen ist mir aufgefallen, dass sich die Pfade des Automount-Verzeichnisses zwischen Client und Server unterscheiden. Besser gesagt, es wird ein ganz anderes Protokoll genommen.

    Auf dem Server sieht der Pfad beispielsweise so aus:
    afp://ldap.server.com/home/user1 /Network/Servers/ldap.server.com/Volumes/home/user1

    so steht es zumindest im AG-Manager unter "Privat" des Nutzers. Außerdem gibt es einen Eintrag im LDAP-Verzeichnis unter mounts:

    url==afp://;AUTH=NO%20USER%20AUTHENT@ldap.server.com/home01

    Der Client hat jedoch das Verzeichnis wie folgt eingebunden:
    Ort: /Network/Servers/ldap.server.com/Volumes/home/user1
    Server: nfs://automount%20-fstab%20%5B110]

    Wie kommt er denn darauf? Ich habe überhaupt keine NFS-Freigaben für das Homeverzeichnis. Wie kommt er darauf und wo kann ich das von Hand umstellen?

    Wie kann ich über das Terminal herausfinden auf welche Art und Weise ein Verzeichnis eingebunden wurde?

    Sehr verwirrend ist, dass er unter /Network/Servers/ldap.server.com/Volumes/home/ tatsächlich die Verzeichnisse der Nutzer anzeigt (manchmal gar nicht, manchmal unvollständig). Sowas habe ich noch nicht gesehen :mad:

    Kann es vielleicht sein, dass erst dann das Share automatisch gemountet wird, wenn darauf zugegriffen wird und das ich deshalb immer einen anderen Inhalt gezeigt bekomme (das passiert auch ohne Neustart).

    André
     
    turkey0815, 15.11.2006
  5. slowfranklin

    slowfranklinMacUser Mitglied

    Mitglied seit:
    28.11.2005
    Beiträge:
    233
    Zustimmungen:
    5
    Hallo Andre,

    der automount Kram ist schon haarig wenns funktioniert. Aus dem Dreck der passiert wenns schief läuft daraus zu schließen warum es das tut ist als Laie unmöglich. Sinnvoller ist ein systematisches Vorgehen mit dscl, testen von Kerberos vom Client aus (Kerberos ist zwar nicht zwingend nötig, wenn es aber vom Client am Server "vorgefunden" wird, will er es auch benutzen und ignoriert dann afair andere auth-Methoden wenn Kerberos-auth fehlschlägt).

    Naheliegendes: Uhrzeit zw. Server und Client synchronisieren.

    Deine Privatordner und mount records sehen erstmal ganz gut aus (wobei zweitere entgegen _aller_ aktuell verfügbaren Literartur mit Stand 10.4.8 gar nicht mehr nötig sind und tendenziell nur noch die passende Konfiguration des Privatverzeichnisses eines Benutzers erleichtern)

    man dscl
    z.B. dscl /Search -read /Users/test
    dscl /Search -list /Mounts

    Antwort auf Frage 7:
    http://www.supported.de/content/view/16/8/

    Gruß

    Ralph
     
    slowfranklin, 16.11.2006
  6. turkey0815

    turkey0815 Thread StarterMacUser Mitglied

    Mitglied seit:
    08.08.2004
    Beiträge:
    25
    Zustimmungen:
    1
    Hallo Ralph,

    danke für die wertvollen Tipps. DSCL ist genau das, was ich gesucht habe. Ich habe mich einstweilen mit JXplorer begnügt. Soweit ich das überblicken kann, stimmt aber alles in den Directory-Einträgen. Ich habe Zugriff, ich finde den Nutzer, dort sind alle Angaben, wie ich sie gemacht habe und die Pfade zum Home-Verzeichnis stimmen auch. Das Share mit den Homeverzeichnissen ist in den Mounts aufgeführt.

    Das AFP-Logging ist echt geil. Dort sind mir ein paar Sachen aufgefallen.
    Mit Kerberos scheint es keine Proble zu geben:
    kerberos authentication for principal user1@ldap.server.com succeeded.\n

    Mehrfach ist Folgendes zu lesen:
    GetPascalCFString: couldn't find the localized string\n
    GetPascalCFString: Using the default string\n

    außerdem:
    IsVolMounted: inMaxPath = 0 outMounPath = (null) mntFlags = 0000\n
    IsVolMounted: error = 2\n
    FetchVolumeList: Checking Access on workflow volflags = 00\n
    FetchVolumeList: User has access\n

    weiter unten:
    SharedVolumeEnumerator::Mount:couldn't resolve path, errno = 13\n
    The bad path segment is /private/Network/Servers/ldap.server.com/Volumes/home\n
    Logging out of Session that we own\n
    TAFPSession::AFPLogout: Logging out of session 34b490\n
    UserCommand failed: error 0x16, afpResult 0x0\n

    Die Uhr von Server und Client laufen synchron.
    Vielleicht sollte man dem "couldn't find the localized string\n" nachgehen, noch habe ich keine Ahnung, was damit gemeint ist. Vielleicht weiß ja jemand Rat.

    Gruß, André
     
    turkey0815, 16.11.2006
  7. slowfranklin

    slowfranklinMacUser Mitglied

    Mitglied seit:
    28.11.2005
    Beiträge:
    233
    Zustimmungen:
    5
    afair i.O. so.

    Post doch bitte mal die Ausgabe von
    dscl /Search -read /Users/eddie_the_eagle | grep Home
    dscl /Search -list /Mounts
    dscl /Search -read /Mounts/ldap.server.com:\\/Volumes\\/home | grep VFS

    Mir ist da doch noch was komisches Aufgefallen in deinem dritten Posting:
    Wo kommt die 01 her?

    Gruß

    Ralph
     
    slowfranklin, 16.11.2006
  8. turkey0815

    turkey0815 Thread StarterMacUser Mitglied

    Mitglied seit:
    08.08.2004
    Beiträge:
    25
    Zustimmungen:
    1
    Hallo Ralph,

    sorry die home01 war ein Schreibfehler. Der Pfad ist überall richtig.

    Hier die Ausgabe:
    root# dscl /Search -read /Users/eddie_the_eagle | grep Home
    root# dscl /Search -list /Mounts
    ldap.server.com:/Volumes/fotoarchiv
    ldap.server.com:/Volumes/home
    root# dscl /Search -read /Mounts/ldap.server.com:\\/Volumes\\/home | grep VFS
    VFSLinkDir: /Network/Servers/
    VFSOpts: net url==afp://;AUTH=NO%20USER%20AUTHENT@ldap.server.com/home
    VFSType: url

    Vielen Dank für Dein Engagement. Schade, eigentlich dachte ich das mit den AFP-Fehlermeldungen wäre eine heise Spur.

    Gruß, André
     
    turkey0815, 16.11.2006
  9. slowfranklin

    slowfranklinMacUser Mitglied

    Mitglied seit:
    28.11.2005
    Beiträge:
    233
    Zustimmungen:
    5
    Code:
    dscl /Search -read /Users/[B]eddie_the_eagle[/B] | grep Home
    Kicher... eddie_the_eagle bitte passend ersetzen.

    Ralph
     
    slowfranklin, 16.11.2006
  10. slowfranklin

    slowfranklinMacUser Mitglied

    Mitglied seit:
    28.11.2005
    Beiträge:
    233
    Zustimmungen:
    5
    Aargh. In der Threadansicht ist zwischen c und om bei .com immer ein Leerzeichen, hier im Editor ists auf einmal wieder weg...????

    Ralph
     
    slowfranklin, 16.11.2006
Die Seite wird geladen...
Ähnliche Themen - Open Directory LDAP
  1. drpiety
    Antworten:
    0
    Aufrufe:
    332
    drpiety
    09.08.2015
  2. hjmaier
    Antworten:
    0
    Aufrufe:
    541
    hjmaier
    27.04.2013
  3. KrisKul
    Antworten:
    2
    Aufrufe:
    577
    KrisKul
    18.01.2013
  4. OFXC
    Antworten:
    2
    Aufrufe:
    1.775
  5. emaerix
    Antworten:
    5
    Aufrufe:
    1.952
    emaerix
    31.12.2005