J'ai mis en place mon domaine, mes groupes de travail.
Dans Macintosh Manager, j'ai enrigistré les machines (par adresse MAC),
et dans les propiétés gérées, j'ai, pour le groupes d'utilisateurs,
coché le montage automatique "Add group share point"
Au fait, pour ceux qui utilisent un DHCP n on Apple, la bonne syntaxe
est :
Ca marche parfaitement, et de façon transparente pour les utilisateurs,
sauf que j'ai deux ou trois machines qui me posent souci. Je peux tant
que je veux me loguer en tenant "option" enfoncé, je m'ai pas le panneau
Macintosh Management, et aucun volume distant n'apparaît. Comme une
machine isolée, quoi, sauf que netstat me dit bien qu'il y a une
connection LDAP active.
Pire, voilà que sur ces bécanes, le panneau de login Kerberos s'affiche
(pour affoler un utilisateur, Apple a fait très fort en design de ce
dialogue), alors que je n'ai activé Kerberos nulle part.
Bien évidemment, l'eMac que j'ai sur mon bureau pour des test, je le
triture dans tous les sens, il persiste à fonctionner normalement.
Quelqu'un a une idée ?
Merci,
XAv
--
Xavier HUMBERT
INJEP - NetBSD, parce que je le vaux bien
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
laurent.pertois
Xavier HUMBERT wrote:
Bonjour,
J'ai mis en place mon domaine, mes groupes de travail. Dans Macintosh Manager, j'ai enrigistré les machines (par adresse MAC), et dans les propiétés gérées, j'ai, pour le groupes d'utilisateurs, coché le montage automatique "Add group share point"
Tu parles bien du Macintosh Manager pour Mac OS 9, là ou bien du Workgroup Manager dédié lui à Mac OS X ?
Au fait, pour ceux qui utilisent un DHCP n on Apple, la bonne syntaxe est :
Il ne te manque pas le dc=injep,dc=fr ? enfin, c'est ce que j'ai sur un Mac OS X, le dc doit être remplacé dans ton cas pas le injep.fr final.
Ca marche parfaitement, et de façon transparente pour les utilisateurs, sauf que j'ai deux ou trois machines qui me posent souci. Je peux tant que je veux me loguer en tenant "option" enfoncé, je m'ai pas le panneau Macintosh Management, et aucun volume distant n'apparaît. Comme une machine isolée, quoi, sauf que netstat me dit bien qu'il y a une connection LDAP active.
Donc toujours en OS 9.
Pire, voilà que sur ces bécanes, le panneau de login Kerberos s'affiche (pour affoler un utilisateur, Apple a fait très fort en design de ce dialogue), alors que je n'ai activé Kerberos nulle part.
Mmmm, par défaut si tu actives un Mac OS X Server en Maître Open Directory, il active un KDC en plus du LDAP. Dans Server Admin, sélectionne Open Directory, dans la vue récapitulative tu dois avoir tous les services activés, à savoir : lookupd, netinfod, slapd, serveur de mot de passe et KDC.
De plus, dans les réglages AFP, Accès, tu dois avoir Authentification sur Toutes méthodes, donc Kerberos et Standard, par défaut dans ce cas, et si un serveur KDC est connu, Kerberos est prioritaire sur la méthode Standard d'envoi du mot de passe (chiffrée ou non, d'ailleurs, tout dépend du client), donc, si tu ne veux pas utiliser Kerberos, passe en mode Standard.
Bien évidemment, l'eMac que j'ai sur mon bureau pour des test, je le triture dans tous les sens, il persiste à fonctionner normalement.
Quelqu'un a une idée ?
Pour l'affichage des utilisateurs en Macintosh Manager, je ne sais pas trop, je n'en ai pas fait depuis la 10.2, mais en 10.3 on a le même soucis pour des clients Mac OS X, on ne peut qu'afficher tous les utilisateurs ou bien aucun et avoir le champs nom et mot de passe, ça fonctionnait pourtant si bien en 10.2 :-/
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Xavier HUMBERT <xavier@injep.fr> wrote:
Bonjour,
J'ai mis en place mon domaine, mes groupes de travail.
Dans Macintosh Manager, j'ai enrigistré les machines (par adresse MAC),
et dans les propiétés gérées, j'ai, pour le groupes d'utilisateurs,
coché le montage automatique "Add group share point"
Tu parles bien du Macintosh Manager pour Mac OS 9, là ou bien du
Workgroup Manager dédié lui à Mac OS X ?
Au fait, pour ceux qui utilisent un DHCP n on Apple, la bonne syntaxe
est :
Il ne te manque pas le dc=injep,dc=fr ? enfin, c'est ce que j'ai sur un
Mac OS X, le dc doit être remplacé dans ton cas pas le injep.fr final.
Ca marche parfaitement, et de façon transparente pour les utilisateurs,
sauf que j'ai deux ou trois machines qui me posent souci. Je peux tant
que je veux me loguer en tenant "option" enfoncé, je m'ai pas le panneau
Macintosh Management, et aucun volume distant n'apparaît. Comme une
machine isolée, quoi, sauf que netstat me dit bien qu'il y a une
connection LDAP active.
Donc toujours en OS 9.
Pire, voilà que sur ces bécanes, le panneau de login Kerberos s'affiche
(pour affoler un utilisateur, Apple a fait très fort en design de ce
dialogue), alors que je n'ai activé Kerberos nulle part.
Mmmm, par défaut si tu actives un Mac OS X Server en Maître Open
Directory, il active un KDC en plus du LDAP. Dans Server Admin,
sélectionne Open Directory, dans la vue récapitulative tu dois avoir
tous les services activés, à savoir : lookupd, netinfod, slapd, serveur
de mot de passe et KDC.
De plus, dans les réglages AFP, Accès, tu dois avoir Authentification
sur Toutes méthodes, donc Kerberos et Standard, par défaut dans ce cas,
et si un serveur KDC est connu, Kerberos est prioritaire sur la méthode
Standard d'envoi du mot de passe (chiffrée ou non, d'ailleurs, tout
dépend du client), donc, si tu ne veux pas utiliser Kerberos, passe en
mode Standard.
Bien évidemment, l'eMac que j'ai sur mon bureau pour des test, je le
triture dans tous les sens, il persiste à fonctionner normalement.
Quelqu'un a une idée ?
Pour l'affichage des utilisateurs en Macintosh Manager, je ne sais pas
trop, je n'en ai pas fait depuis la 10.2, mais en 10.3 on a le même
soucis pour des clients Mac OS X, on ne peut qu'afficher tous les
utilisateurs ou bien aucun et avoir le champs nom et mot de passe, ça
fonctionnait pourtant si bien en 10.2 :-/
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
J'ai mis en place mon domaine, mes groupes de travail. Dans Macintosh Manager, j'ai enrigistré les machines (par adresse MAC), et dans les propiétés gérées, j'ai, pour le groupes d'utilisateurs, coché le montage automatique "Add group share point"
Tu parles bien du Macintosh Manager pour Mac OS 9, là ou bien du Workgroup Manager dédié lui à Mac OS X ?
Au fait, pour ceux qui utilisent un DHCP n on Apple, la bonne syntaxe est :
Il ne te manque pas le dc=injep,dc=fr ? enfin, c'est ce que j'ai sur un Mac OS X, le dc doit être remplacé dans ton cas pas le injep.fr final.
Ca marche parfaitement, et de façon transparente pour les utilisateurs, sauf que j'ai deux ou trois machines qui me posent souci. Je peux tant que je veux me loguer en tenant "option" enfoncé, je m'ai pas le panneau Macintosh Management, et aucun volume distant n'apparaît. Comme une machine isolée, quoi, sauf que netstat me dit bien qu'il y a une connection LDAP active.
Donc toujours en OS 9.
Pire, voilà que sur ces bécanes, le panneau de login Kerberos s'affiche (pour affoler un utilisateur, Apple a fait très fort en design de ce dialogue), alors que je n'ai activé Kerberos nulle part.
Mmmm, par défaut si tu actives un Mac OS X Server en Maître Open Directory, il active un KDC en plus du LDAP. Dans Server Admin, sélectionne Open Directory, dans la vue récapitulative tu dois avoir tous les services activés, à savoir : lookupd, netinfod, slapd, serveur de mot de passe et KDC.
De plus, dans les réglages AFP, Accès, tu dois avoir Authentification sur Toutes méthodes, donc Kerberos et Standard, par défaut dans ce cas, et si un serveur KDC est connu, Kerberos est prioritaire sur la méthode Standard d'envoi du mot de passe (chiffrée ou non, d'ailleurs, tout dépend du client), donc, si tu ne veux pas utiliser Kerberos, passe en mode Standard.
Bien évidemment, l'eMac que j'ai sur mon bureau pour des test, je le triture dans tous les sens, il persiste à fonctionner normalement.
Quelqu'un a une idée ?
Pour l'affichage des utilisateurs en Macintosh Manager, je ne sais pas trop, je n'en ai pas fait depuis la 10.2, mais en 10.3 on a le même soucis pour des clients Mac OS X, on ne peut qu'afficher tous les utilisateurs ou bien aucun et avoir le champs nom et mot de passe, ça fonctionnait pourtant si bien en 10.2 :-/
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
xavier
Laurent Pertois wrote:
Tu parles bien du Macintosh Manager pour Mac OS 9, là ou bien du Workgroup Manager dédié lui à Mac OS X ?
Non, on s'est débarassé du dernier MacOS9 il y a deux mois :-))
De plus, dans les réglages AFP, Accès, tu dois avoir Authentification sur Toutes méthodes, donc Kerberos et Standard, par défaut dans ce cas, et si un serveur KDC est connu, Kerberos est prioritaire sur la méthode Standard d'envoi du mot de passe (chiffrée ou non, d'ailleurs, tout dépend du client), donc, si tu ne veux pas utiliser Kerberos, passe en mode Standard.
Ahhhhhhh ! J'ai été plus brutal, j'ai viré les fichiers :
Bien évidemment, l'eMac que j'ai sur mon bureau pour des test, je le triture dans tous les sens, il persiste à fonctionner normalement.
Quelqu'un a une idée ?
Pour l'affichage des utilisateurs en Macintosh Manager, je ne sais pas trop, je n'en ai pas fait depuis la 10.2, mais en 10.3 on a le même soucis pour des clients Mac OS X, on ne peut qu'afficher tous les utilisateurs ou bien aucun et avoir le champs nom et mot de passe, ça fonctionnait pourtant si bien en 10.2 :-/
Ben l'affichage des utilisateurs, si on arrive à restreindre à ceux du groupe, en créant des groupes de machines.
Mais cette machine là, en particulier, elle affiche rien. Que les utilisateurs locaux. Et pas la peine de tenter un utilisateur réseau, il est pas authentifié. Alors que l'enregistrement LDAP dans Directory Access est OK.
Bon, je vais encore fouillé, le mystère Kerberos est déja élucidé, merci :-)
XAv
-- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
Tu parles bien du Macintosh Manager pour Mac OS 9, là ou bien du
Workgroup Manager dédié lui à Mac OS X ?
Non, on s'est débarassé du dernier MacOS9 il y a deux mois :-))
De plus, dans les réglages AFP, Accès, tu dois avoir Authentification
sur Toutes méthodes, donc Kerberos et Standard, par défaut dans ce cas,
et si un serveur KDC est connu, Kerberos est prioritaire sur la méthode
Standard d'envoi du mot de passe (chiffrée ou non, d'ailleurs, tout
dépend du client), donc, si tu ne veux pas utiliser Kerberos, passe en
mode Standard.
Ahhhhhhh ! J'ai été plus brutal, j'ai viré les fichiers :
Bien évidemment, l'eMac que j'ai sur mon bureau pour des test, je le
triture dans tous les sens, il persiste à fonctionner normalement.
Quelqu'un a une idée ?
Pour l'affichage des utilisateurs en Macintosh Manager, je ne sais pas
trop, je n'en ai pas fait depuis la 10.2, mais en 10.3 on a le même
soucis pour des clients Mac OS X, on ne peut qu'afficher tous les
utilisateurs ou bien aucun et avoir le champs nom et mot de passe, ça
fonctionnait pourtant si bien en 10.2 :-/
Ben l'affichage des utilisateurs, si on arrive à restreindre à ceux du
groupe, en créant des groupes de machines.
Mais cette machine là, en particulier, elle affiche rien. Que les
utilisateurs locaux. Et pas la peine de tenter un utilisateur réseau, il
est pas authentifié. Alors que l'enregistrement LDAP dans Directory
Access est OK.
Bon, je vais encore fouillé, le mystère Kerberos est déja élucidé,
merci :-)
XAv
--
Xavier HUMBERT
INJEP - NetBSD, parce que je le vaux bien
Tu parles bien du Macintosh Manager pour Mac OS 9, là ou bien du Workgroup Manager dédié lui à Mac OS X ?
Non, on s'est débarassé du dernier MacOS9 il y a deux mois :-))
De plus, dans les réglages AFP, Accès, tu dois avoir Authentification sur Toutes méthodes, donc Kerberos et Standard, par défaut dans ce cas, et si un serveur KDC est connu, Kerberos est prioritaire sur la méthode Standard d'envoi du mot de passe (chiffrée ou non, d'ailleurs, tout dépend du client), donc, si tu ne veux pas utiliser Kerberos, passe en mode Standard.
Ahhhhhhh ! J'ai été plus brutal, j'ai viré les fichiers :
Bien évidemment, l'eMac que j'ai sur mon bureau pour des test, je le triture dans tous les sens, il persiste à fonctionner normalement.
Quelqu'un a une idée ?
Pour l'affichage des utilisateurs en Macintosh Manager, je ne sais pas trop, je n'en ai pas fait depuis la 10.2, mais en 10.3 on a le même soucis pour des clients Mac OS X, on ne peut qu'afficher tous les utilisateurs ou bien aucun et avoir le champs nom et mot de passe, ça fonctionnait pourtant si bien en 10.2 :-/
Ben l'affichage des utilisateurs, si on arrive à restreindre à ceux du groupe, en créant des groupes de machines.
Mais cette machine là, en particulier, elle affiche rien. Que les utilisateurs locaux. Et pas la peine de tenter un utilisateur réseau, il est pas authentifié. Alors que l'enregistrement LDAP dans Directory Access est OK.
Bon, je vais encore fouillé, le mystère Kerberos est déja élucidé, merci :-)
XAv
-- Xavier HUMBERT INJEP - NetBSD, parce que je le vaux bien
laurent.pertois
Xavier HUMBERT wrote:
Laurent Pertois wrote:
Tu parles bien du Macintosh Manager pour Mac OS 9, là ou bien du Workgroup Manager dédié lui à Mac OS X ?
Non, on s'est débarassé du dernier MacOS9 il y a deux mois :-))
Bien :)
De plus, dans les réglages AFP, Accès, tu dois avoir Authentification sur Toutes méthodes, donc Kerberos et Standard, par défaut dans ce cas, et si un serveur KDC est connu, Kerberos est prioritaire sur la méthode Standard d'envoi du mot de passe (chiffrée ou non, d'ailleurs, tout dépend du client), donc, si tu ne veux pas utiliser Kerberos, passe en mode Standard.
Ahhhhhhh ! J'ai été plus brutal, j'ai viré les fichiers :
Apple a fait en sorte que la config de Kerberos se fasse automatiquement aussi sur les postes clients, il y a une entrée dans le LDAP pour ça, dans cn=config et les postes clients utilisent ces infos.
Par contre, il y a un truc étrange, si tes utilisateurs s'authentifient sur le Maître Open Directory, ils devraient automatiquement récupérer un ticket Kerberos et donc ne pas avoir la fenêtre Kerberos. A moins que des partages ne soient sur un autre serveur. Dans ce cas, tu as toujours la possibilité d'inscrire les autres serveurs auprès de ton KDC afin qu'ils puissent utiliser les tickets émis par ce dernier. Cf la doc OpenDirectory d'Apple. Sinon, demande ici, on verra ça. Et après, à toi, et tes utilisateurs, les joies du Single Sign-On et surtout, pour toi, l'absence de circulation des mots de passe.
Pour l'affichage des utilisateurs en Macintosh Manager, je ne sais pas trop, je n'en ai pas fait depuis la 10.2, mais en 10.3 on a le même soucis pour des clients Mac OS X, on ne peut qu'afficher tous les utilisateurs ou bien aucun et avoir le champs nom et mot de passe, ça fonctionnait pourtant si bien en 10.2 :-/
Ben l'affichage des utilisateurs, si on arrive à restreindre à ceux du groupe, en créant des groupes de machines.
Et ça fonctionne ? ça voudrait donc dire que c'est corrigé et que je vais devoir réessayer alors :)
Mais cette machine là, en particulier, elle affiche rien. Que les utilisateurs locaux. Et pas la peine de tenter un utilisateur réseau, il est pas authentifié. Alors que l'enregistrement LDAP dans Directory Access est OK.
Mmmmm, sur ce poste, lance la commande : dscl localhost. Après, regarde ce qu'il y a dans LDAPv3/127.0.0.1. dscl en mode interactif fonctionne un peu comme un shell, on liste avec ls, on se déplace avec cd, il y a même la complétion automatique et on peut lire le contenu d'une entrée avec read, après, je sais que tu lis les manpages plus vite que ton ombre, je te laisse faire.
Bon, je vais encore fouillé, le mystère Kerberos est déja élucidé, merci :-)
Bah de rien :-)
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Tu parles bien du Macintosh Manager pour Mac OS 9, là ou bien du
Workgroup Manager dédié lui à Mac OS X ?
Non, on s'est débarassé du dernier MacOS9 il y a deux mois :-))
Bien :)
De plus, dans les réglages AFP, Accès, tu dois avoir Authentification
sur Toutes méthodes, donc Kerberos et Standard, par défaut dans ce cas,
et si un serveur KDC est connu, Kerberos est prioritaire sur la méthode
Standard d'envoi du mot de passe (chiffrée ou non, d'ailleurs, tout
dépend du client), donc, si tu ne veux pas utiliser Kerberos, passe en
mode Standard.
Ahhhhhhh ! J'ai été plus brutal, j'ai viré les fichiers :
Apple a fait en sorte que la config de Kerberos se fasse automatiquement
aussi sur les postes clients, il y a une entrée dans le LDAP pour ça,
dans cn=config et les postes clients utilisent ces infos.
Par contre, il y a un truc étrange, si tes utilisateurs s'authentifient
sur le Maître Open Directory, ils devraient automatiquement récupérer un
ticket Kerberos et donc ne pas avoir la fenêtre Kerberos. A moins que
des partages ne soient sur un autre serveur. Dans ce cas, tu as toujours
la possibilité d'inscrire les autres serveurs auprès de ton KDC afin
qu'ils puissent utiliser les tickets émis par ce dernier. Cf la doc
OpenDirectory d'Apple. Sinon, demande ici, on verra ça. Et après, à toi,
et tes utilisateurs, les joies du Single Sign-On et surtout, pour toi,
l'absence de circulation des mots de passe.
Pour l'affichage des utilisateurs en Macintosh Manager, je ne sais pas
trop, je n'en ai pas fait depuis la 10.2, mais en 10.3 on a le même
soucis pour des clients Mac OS X, on ne peut qu'afficher tous les
utilisateurs ou bien aucun et avoir le champs nom et mot de passe, ça
fonctionnait pourtant si bien en 10.2 :-/
Ben l'affichage des utilisateurs, si on arrive à restreindre à ceux du
groupe, en créant des groupes de machines.
Et ça fonctionne ? ça voudrait donc dire que c'est corrigé et que je
vais devoir réessayer alors :)
Mais cette machine là, en particulier, elle affiche rien. Que les
utilisateurs locaux. Et pas la peine de tenter un utilisateur réseau, il
est pas authentifié. Alors que l'enregistrement LDAP dans Directory
Access est OK.
Mmmmm, sur ce poste, lance la commande : dscl localhost. Après, regarde
ce qu'il y a dans LDAPv3/127.0.0.1. dscl en mode interactif fonctionne
un peu comme un shell, on liste avec ls, on se déplace avec cd, il y a
même la complétion automatique et on peut lire le contenu d'une entrée
avec read, après, je sais que tu lis les manpages plus vite que ton
ombre, je te laisse faire.
Bon, je vais encore fouillé, le mystère Kerberos est déja élucidé,
merci :-)
Bah de rien :-)
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Tu parles bien du Macintosh Manager pour Mac OS 9, là ou bien du Workgroup Manager dédié lui à Mac OS X ?
Non, on s'est débarassé du dernier MacOS9 il y a deux mois :-))
Bien :)
De plus, dans les réglages AFP, Accès, tu dois avoir Authentification sur Toutes méthodes, donc Kerberos et Standard, par défaut dans ce cas, et si un serveur KDC est connu, Kerberos est prioritaire sur la méthode Standard d'envoi du mot de passe (chiffrée ou non, d'ailleurs, tout dépend du client), donc, si tu ne veux pas utiliser Kerberos, passe en mode Standard.
Ahhhhhhh ! J'ai été plus brutal, j'ai viré les fichiers :
Apple a fait en sorte que la config de Kerberos se fasse automatiquement aussi sur les postes clients, il y a une entrée dans le LDAP pour ça, dans cn=config et les postes clients utilisent ces infos.
Par contre, il y a un truc étrange, si tes utilisateurs s'authentifient sur le Maître Open Directory, ils devraient automatiquement récupérer un ticket Kerberos et donc ne pas avoir la fenêtre Kerberos. A moins que des partages ne soient sur un autre serveur. Dans ce cas, tu as toujours la possibilité d'inscrire les autres serveurs auprès de ton KDC afin qu'ils puissent utiliser les tickets émis par ce dernier. Cf la doc OpenDirectory d'Apple. Sinon, demande ici, on verra ça. Et après, à toi, et tes utilisateurs, les joies du Single Sign-On et surtout, pour toi, l'absence de circulation des mots de passe.
Pour l'affichage des utilisateurs en Macintosh Manager, je ne sais pas trop, je n'en ai pas fait depuis la 10.2, mais en 10.3 on a le même soucis pour des clients Mac OS X, on ne peut qu'afficher tous les utilisateurs ou bien aucun et avoir le champs nom et mot de passe, ça fonctionnait pourtant si bien en 10.2 :-/
Ben l'affichage des utilisateurs, si on arrive à restreindre à ceux du groupe, en créant des groupes de machines.
Et ça fonctionne ? ça voudrait donc dire que c'est corrigé et que je vais devoir réessayer alors :)
Mais cette machine là, en particulier, elle affiche rien. Que les utilisateurs locaux. Et pas la peine de tenter un utilisateur réseau, il est pas authentifié. Alors que l'enregistrement LDAP dans Directory Access est OK.
Mmmmm, sur ce poste, lance la commande : dscl localhost. Après, regarde ce qu'il y a dans LDAPv3/127.0.0.1. dscl en mode interactif fonctionne un peu comme un shell, on liste avec ls, on se déplace avec cd, il y a même la complétion automatique et on peut lire le contenu d'une entrée avec read, après, je sais que tu lis les manpages plus vite que ton ombre, je te laisse faire.
Bon, je vais encore fouillé, le mystère Kerberos est déja élucidé, merci :-)
Bah de rien :-)
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
