OD problem, fel -5000?

Tråden skapades och har fått 5 svar. Det senaste inlägget skrevs .
1

Hej alla,
nu måste jag be om hjälp. Min verkar för det mesta funka finfint. Men nu har jag råkat ut för ett fel jag inte förstår eller rår på. Vissa användare kan logga in bra, men nästan alla får felmeddelandet -5000 när de försöker ansluta via AFP.

Kollar jag i Server Admin på OD så ser är allt igång, och jag kunde göra en OD Master utan problem, all info fylldes i av sig själv, DNS funkar fint i alla uppslag fram och bak, hostname är korrekt också.

Jag har provat flera gånger att ta ner OD Mastern och återskapa den, jag har provat att ta bort alla användare och alla Share Points, och lägga till dom en efter en. Då funkar det bra. Men förr eller senare återkommer problemet. Det mest underliga är att jag kan titta på två användare i WGM, de ser exakt identiska ut, den ena har UID 1077 och den andra har 1078, den ena kan logga in fint, den andra får fel -5000.

Måste alla användare tillhöra någon av system-grupperna? Kan de bara tillhöra en nyskapad grupp med GID över 1000? Jag testade att lägga alla användare i staff GID 20 först och det verkade funka ett tag men sen sket det sig också.

här är min /Library/Preferences/edu.mit.Kerberos

# WARNING This file is automatically created, if you wish to make changes
# delete the next two lines
# autogenerated from : /LDAPv3/127.0.0.1
# generation_id : 1548659792
[libdefaults]
        default_realm = MIN.DOMAN.SE
[realms]
        MIN.DOMAN.SE = {
                kdc = min.doman.se
                admin_server = min.doman.se
        }
[domain_realm]
        atmo.se = MIN.DOMAN.SE
        .atmo.se = MIN.DOMAN.SE
[logging]
        admin_server = FILE:/var/log/krb5kdc/kadmin.log
        kdc = FILE:/var/log/krb5kdc/kdc.log

Ser väl korrekt ut, eller hur?

Det jag kan tänka mig orsakar problem är att jag inte har någon annan DNS server, utan att jag använder serverns egen DNS som DNS. Är det det som orsakar dessa fel i kdc.log:

Oct 04 14:56:34 min.doman.se krb5kdc[134](info): TGS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.0.15: UNKNOWN_SERVER: authtime 1191502211,  diradmin@MIN.DOMAN.SE for ldap/intern.atmo.se@ MIN.DOMAN.SE, Server not found in Kerberos database

Ursäkta ett lite struligt inlägg...

Senast redigerat 2007-10-04 15:02

Nja jag tycker den ser lite skum ut.
Min ser ut så här, visserligen en intern server:

[libdefaults]
        default_realm = SERVER.HEDMAN.INTERN
[realms]
        SERVER.HEDMAN.INTERN = {
                kdc = server.hedman.intern
                admin_server = server.hedman.intern
        }
[domain_realm]
        .hedman.intern = SERVER.HEDMAN.INTERN
        hedman.intern = SERVER.HEDMAN.INTERN
[logging]
        admin_server = FILE:/var/log/krb5kdc/kadmin.log
        kdc = FILE:/var/log/krb5kdc/kdc.log

Mattias, jag tycker våra ser exakt likadana ut.
Men jag tror jag är problemet på spåret. Jag tog bort Home från Share Points och då funkade det. Jag tror att jag har försökt sätta att Home inte ska vara läsbart för alla, men då blev ju de underliggande foldrarna också förbjudna att läsa för användarna. En rättighetskonflikt alltså. Därför funkade det att logga in för de användare som inte hade några home directories. Tror jag....

Hej, som du listat ut så betyder -5000 AccessDenied när det handlar om AFP, mao felaktiga rättigheter på det share som användarna försöker ansluta till.

//Patrik

Okej lite frågor...

Vad är egentligen de korrekta rättigheterna för en Home mapp? Jag tror de defaultas till:
Owner: admin Read & Write
Group: staff Read Only
Everyone: Read Only

Och de underliggande mapparna, dvs Home/mittnamn får ju
Owner: mittnamn
Group: staff Read Only
Everyone: Read Only

Hur gör man för att ändra på flera användar-mappar får Everyone: none? Det går ju inte att markera fler än en mapp i taget?

Och: hur gör man för att själva Home-mappen inte ska synas som en share? Om jag gör den icke-läsbar för staff så dyker det där felet upp -5000 som jag inte lyckades lista ut vad det berodde på. Inte för att det gör så mycket men det verkar onödigt att de ska se den som en share.

1
Bevaka tråden