Hur knyta 10.5 till 10.4 server?

Tråden skapades och har fått 12 svar. Det senaste inlägget skrevs .
1

Hur knyter jag en 10.5 klient till en 10.4 server som är OD med Kerberos?
Jag lyckas inte med detta här hemma.

Det gick bra i Katalogtjänster men jag får ingen Kerberosnyckel.

När jag startar kerberosklieten och försöker ansluta får jag:
"Allmänt fel (se e-text)".

Jag har även lagt till sökvägen i DHCP konfigurationen för LDAP.

Så här ser den autogenereade kerberos-filen ut:

# autogenerated from : /LDAPv3/server.hedman.intern
# generation_id : 935829676
[libdefaults]
        default_realm = SERVER.HEDMAN.INTERN
[realms]
        SERVER.HEDMAN.INTERN = {
                admin_server = server.hedman.intern
                kdc = server.hedman.intern
        }
[domain_realm]
        hedman.intern = SERVER.HEDMAN.INTERN
        .hedman.intern = SERVER.HEDMAN.INTERN
[logging]
        admin_server = FILE:/var/log/krb5kdc/kadmin.log
        kdc = FILE:/var/log/krb5kdc/kdc.log

HIttade en intressant rad i Password Service Log:
Nov 15 2007 20:50:02 KERBEROS-LOGIN-CHECK: policy violation (-2) for user {0x46f647285fabbfa10000000600000006, mattias}
Nov 15 2007 20:50:02 QUIT: {no user} disconnected.
Nov 15 2007 20:50:02 KERBEROS-LOGIN-CHECK: setting disable reason to 0

Policy violation? Huh? De policies jag har satt uppfylls allihopa.

Vad ska jag hitta på nu?

Senast redigerat 2007-11-15 20:53
  • Medlem
  • Värnamo
  • 2007-12-12 21:28

Hur har det gått för dig ?
Står inför samma problem. Servern 10.4 och klienten 10.5.

Inge bra jag har gett i vänta på att installera om servern till 10.5.
Så då blir problemet omvänt 10.4 klient mot 10.5 server borde gå bättre.
Om nu inte kerberos-buggen i 10.5 server gör att jag lämnar Kerberos därhän.

Hittade detta på afp548s forum:

Citat:

tart simple. Turn off any DNS service that you're providing on the same server. Shared directory domains in Open Directory can be located via multicast DNS instead (mDNS, Bonjour). Leave the host name entry in /etc/hostconfig set to -AUTOMATIC-, as this lets the Bonjour name be used as a first choice.

Then, rebind your clients to the server using Directory Access, using the server's Bonjour mDNS name .local.

Kan vara värt att testa.

  • Medlem
  • Värnamo
  • 2007-12-14 13:07

jag hoppas jag har bättre tur om 1 v. en macbook med 10.5 ska knytas till en 10.4 server :/

Hur har det gått för er? Slutade dagen idag med att jag blev SJUKT less på Apple..

Har en 10.4 server som kör OD och fungerar bra, har labbat och lyckats binda 10.5 klienter till den utan problem, även nån enstaka klient som kör 10.5 skarpt mot den.

Nu i eftermiddags när jag skulle binda 2 nya datorer till OD'n så slutar det att fungera. Den första fungerar bara bra. Sen den andra säger "kan inte binda, det finns redan en dator som heter samma sak" (fast det inte gör det) sen trots att man säger att den skall skriva över namnet i OD't så snurrar den bara lite sen är man tillbaka. Har även rensat lite i dator-listan och försökt binda om men då går inte heller den första dator att binda. Ifall jag kör den "äldre" dialogrutan för att binda säger den "Unspecified error" eller nåt liknande.

10.4 binder fortfarande utan problem, men vafan hände med 10.5?

TRÖTT är bara förnamnet...

Jag har gett upp.
Jag tänker så här:
10.4K mot 10.4S toppenbra.
10.5K mot 10.5S toppenbra.
10.4K mot 10.5S borde gå bra....

Så nästa steg är att installera en 10.5 server när jag nu ska orka med det....

  • Medlem
  • Lund
  • 2008-03-12 14:54

Jag har bara uppgraderat en klient till 10.5 än så länge, men jag har inget problem att få en Kerberos-biljett på den.

Det som däremot är väldigt förvirrande är att man inte längre får upp en speciell Kerberos-ruta som man får i Tiger. Det framgår ingenstans att det är tal om Kerberos-inloggning.

Sidospår: När man loggar in med afp i Tiger så får man ju upp en Kerberos-ruta, och tar man avbryt i den så får man en vanlig afp-ruta. Det är rätt praktiskt om man sitter vid en annan maskin och inte vill lämna en biljett efter sig, men den möjligheten verkar saknas i 10.5.

Hmmm intressant!
Det har jag inte tänkt på faktiskt men det har inte med inställningen att göra hur du får logga in på afp-delningen?

Å andra sidan är väl detta en typisk Apple förändring. Att förenkla för användaren.

Det borde finnas något sätt att slippa Kerberos inloggning såvida det är tillåtet.

  • Medlem
  • Lund
  • 2008-03-12 15:48
Ursprungligen av Mattias Hedman:

Hmmm intressant!
Det har jag inte tänkt på faktiskt men det har inte med inställningen att göra hur du får logga in på afp-delningen?

Det har inget att göra med vilken användare som loggar in, utan skillnaden sitter enbart i om det är 10.4 eller 10.5 på klienten.

Mao en Apple "förenkling" av inloggningsförfarandet.

  • Medlem
  • Lund
  • 2008-03-12 16:26
Ursprungligen av Mattias Hedman:

Mao en Apple "förenkling" av inloggningsförfarandet.

Ja, verkar inte bättre.

Jag fick iaf rätt på det hela igen. Fråga mig dock inte vad som blivit fel. Startade om servern igårkväll och flippade lite på "Require direcory binding" inställningen. Nu fungerar det igen och både 10.4 och 10.5 kan connecta.

Visst är deet trevligt när det är logik i det hela

Jag har precis konfigurerat en hemlånad 10.5 server från jobbet med alla de tjänster jag har på min gamla 10.4 server (AFP, DHCP, DNS, OD, SU, VPN).
Allt fungerar så nu har jag fått hopp om 10.5 server igen.
Nu måste jag bara läsa på hur mobile accounts fungerar, om det är någon skillnad från 10.4, för det är det första som ska igång mot klienterna.
Sedan måste jag köpa en AP Extreme så jag kan köra Radius.

1
Bevaka tråden