10.4 Kerberos strul

Tråden skapades och har fått 34 svar. Det senaste inlägget skrevs .

Blev tvungen att byta domän på server från den domän jag skrev in när jag installerade servern.
Jag har ändrat hostname, ändrat i DNSen allt fungerar perfekt där via.
Tog servern från Open Directory Master (ODM) till Standalone och till ODM igen.
Kerberos startade inte läste i manualen (!) att sådant kan hända, fanns en lösning på det.
Körde den och Kerberos hoppade igång. Tjoohoo tänkte jag Apple har skrivit en manual som fungerar!
Men tji fick jag.
Nu när jag går in på servern igen är Kerberos avstängt, Apples lösning fungerar inte.
Klickar på "Kerberize" anger mitt lösenord, 4 sek sedan kommer panelen upp igen och igen och igen och igen tills jag trycker på Cancel och inte har någon Kerberos igång.

Varför? Vad ska jag göra?

Hmmm i slapdconfig loggen hittade jag något intressant... här finns nog lösningen nu ska jag bara klura ut vad det betyder...

Authenticating to the Directory Server
Creating Kerberos directory
Creating KDC Config File
Creating Admin ACL File
Creating Kerberos Master Key
Creating Kerberos Database
Creating Kerberos Admin user
WARNING: no policy specified for diradmin@SERVER.DOMAIN.COM; defaulting to no policy
Adding kerberos auth authority to admin user
Creating keytab for the admin tools
Adding KDC & kadmind to launchd
edu.mit.kadmind: Already loaded
com.apple.kdcmond: Already loaded
The KDC is not running error = 3
Failed to configure error = 3

Lite handhackade i edu.kerberos.mit och en omstart så var problemet löst.
Just ni i alla fall....

  • Medlem
  • International user
  • 2005-10-17 11:45
Ursprungligen av Mattias Hedman:

Lite handhackade i edu.kerberos.mit och en omstart så var problemet löst.
Just ni i alla fall....

Kanontips - nu vet vi andra hur man får igång Kerberos när det strular (vilket det alltid gör vid installation)

Hittade dock lite hjälp om detta:
http://docs.info.apple.com/article.html?artnum=302044

Jag fick skriva om kerberosfilen för hand eftersom den hade auto genererats från första gången jag använde kerberos och eftersom den fanns när jag körde igång den nya kereberos konfigurationen skrevs den inte om (bugg?) så jag fick ändra infon i den för hand.
Lite bättre förklarat jag erkänner.

  • Medlem
  • Stockholm
  • 2005-10-17 15:28

När man sätter igång kerberos första gången så är det OTROLIGT viktigt att DNS funkar. Åt båda hållen. Med fqdn definerat.

dvs
kerberos.foretag.se = 10.0.0.50
10.0.0.50 = kerberos.foretag.se

Utan undantag. Får ni inte det att funka så kommer ni få problem med kerberos.

Får ni problem trots att ni gjort detta har ni troligtvis meckat något med servern innan. Då är det bara att döda od mastern och göra om det. Så funkar det. Utan att man behöver hacka i terminalen eller skriva om kerberosfilen.

/glemme

Ursprungligen av glemme:

När man sätter igång kerberos första gången så är det OTROLIGT viktigt att DNS funkar. Åt båda hållen. Med fqdn definerat.

dvs
kerberos.foretag.se = 10.0.0.50
10.0.0.50 = kerberos.foretag.se

Utan undantag. Får ni inte det att funka så kommer ni få problem med kerberos.

Får ni problem trots att ni gjort detta har ni troligtvis meckat något med servern innan. Då är det bara att döda od mastern och göra om det. Så funkar det. Utan att man behöver hacka i terminalen eller skriva om kerberosfilen.

/glemme

Med "döda" menar du då att ta ner den till en standalone och sen ta upp den till OD master igen?

Om jag har en OD-master där kerberos inte funkar, som jag vill mekka igång de på, hur undviker jag att tappa users när jag kör om den till Standalone och tillbaka till Master? Gjorde ett test och då blev det stora problem med userdatabasen.

  • Medlem
  • Gävle
  • 2007-08-10 18:26
Ursprungligen av glemme:

När man sätter igång kerberos första gången så är det OTROLIGT viktigt att DNS funkar. Åt båda hållen. Med fqdn definerat.

dvs
kerberos.foretag.se = 10.0.0.50
10.0.0.50 = kerberos.foretag.se

Utan undantag. Får ni inte det att funka så kommer ni få problem med kerberos.

Får ni problem trots att ni gjort detta har ni troligtvis meckat något med servern innan. Då är det bara att döda od mastern och göra om det. Så funkar det. Utan att man behöver hacka i terminalen eller skriva om kerberosfilen.

/glemme

Men om det inte är en publik server på internet utan en intern nätverksserver som har hand om en handfull datorer (dvs utan webbadress), hur gör man med hostname då?
Just nu anropas den som server.local eller via ip-adressen, men jag skulle vilja testa att köra den som OD. Precis som trådskaparen har jag problem med kerberos som inte vill autostarta.
DNS:en ligger inte i samma IP-intervall (servern är på 10.0.x.x och DNS:en på 172.16.x.x) spelar det någon roll? Ska jag köra igång dns på 10.0.x.x-servern också?

Tacksam för svar

Jaså du... men om min DNS var prefekt konfigurerad och kollad mer än en gång.
Trots detta fungerade det inte så enkelt som du beskriver glemme.
För jag gjorde precis så som du säger, jag konfigurerade till och med om DNSn för att jag trodde att det var fel på den men nej det var inte.

  • Medlem
  • International user
  • 2005-10-19 12:17

Hedman> Vad sa slapconfig.log då? Min sa följande på en lekserver;
"Could not resolve hostname activation.bredband.com" och på grund av detta kommer;
"Skipping Kerberos configuration"

*******************************************************

Att sätta rätt namn under /etc/hostconfig som dokumentet beskriver, vilket wire länkade till är ju också "hyffsat" viktigt. (rent allmänt alltså för nya läsare)

Senast redigerat 2005-10-19 12:33
  • Medlem
  • Stockholm
  • 2005-10-19 15:47

Japps, du sätter den till standalone.

Exportera användarna och importera dom igen.

Hur exporterar du för att då med passwords o allt?

slapcat -l /blabla/backup.ldif
mkpassdb -backupdb /backupkatalog/

Torde fungera?

Hmm. Kan finns en risk att den exporten inte räcker!?
På User record:et i LDAP databasen finns ett attribut som heter Authentication Authority, och detta innehåller två värden varav det ena innehåller Kerberos-information. Har inte testat, men det finns en risk att detta blir fel. Antingen redan från början eftersom Kerberos inte är igång eller också när en ny Kerberos databas skapas.

Gör istället så här:
Sätt ett generellt lösen på alla användare efter importen, och ange i policys att de skall byta lösenord nästa gång de loggar in (fungerar i loginwindow samt afp-anslutningar)

Kan för övrigt bara understryka vikten av det glemme säger. Minsta fel i DNS och Kerberos kommer strula. Punkt slut!

Glöm inte heller att det gäller att testa DNS uppslagen på maskinen i fråga. Det hjälper inte att DNS-servern är rätt uppsatt om den blivande OD-servern inte ser den/har den angiven i nätverksinställningar

Tänk också på att Tiger server har hostname satt till -AUTOMATIC- vilket innebär att hostname är beroende av yttre parametrar som vanligtvis är DNS. Om DNS-servern körs på samma maskin brukar man få starta om servern efter det att man konfigurerat DNS-servern för första gången. Annars finns det en risk att hostname är Bonjour-namnet.
Dessutom bör man absolut se till att ha sökdomän angivet i nätverksinställningar (i alla fall i 10.3). Osäker på om det är ett krav i 10.4, men varför inte göra det rätt när man ändå håller på?

Ett bra tips är att titta på vad som står i Server Admin när man väljer att propagera om en server till OD Master. Om fully qualified hosname med versaler _inte_ står förifyllt i fältet för Kerberos Realm så innebär det DNS-strul. Om värdet på sökdomän inte står för ifyllt som LDAP Search Base så innebär det nog att sökdomän inte är förifylld. Om någon av dessa parametrar saknas eller ser konstig ut - avbryt! Avsluta Server Admin, rätta till problemet, starta Server Admin på nytt och testa. Det är meningslöst att ens försöka om värdena saknas eller är lustiga!
Ge er heller inte på att ändra de förifyllda värdena när ni propgerar till en OD Master - en bra källa till strul.

Om något ändå skulle gå fel så kommer det _alltid_ att synas i /Library/Logs/slapconfig.log

Jag vill på intet sätt verka "dryg" eller så, men faktum är att jag satt upp mängder med OD Masters detta har inte strulat på väldigt, väldigt väldigt länge. Denna process är ruggit stabil och väldigt förutsägbar! DNS, DNS, DNS...

  • Medlem
  • Gävle
  • 2007-08-11 20:00

Anyone?

Om du inte kan lägga upp server i den DNS-server som finns i 172.16.x.x nätet, så kanske du kan sätta upp en egen DNS-server på servern som skall vara OD-master.
Hitta på en egen domän som inte finns i verkligheten, t.ex. foretaget.internt

  • Medlem
  • Gävle
  • 2007-08-11 22:46

ah, det går att göra så? det ligger ju redan en dns i 172-nätet, är det bara att se till att min server reggas där med foretag.internt som dns-namn med reverse lookup åt båda hållen, så ska det funka menar du? och kerberos startar automatiskt? låter ju fantastiskt isf, jag har slitit mitt hår i över en vecka, börjar se ut som en 40 år yngre nils petter sundgren.

Ursprungligen av mbp:

ah, det går att göra så? det ligger ju redan en dns i 172-nätet, är det bara att se till att min server reggas där med foretag.internt som dns-namn med reverse lookup åt båda hållen, så ska det funka menar du? och kerberos startar automatiskt? låter ju fantastiskt isf, jag har slitit mitt hår i över en vecka, börjar se ut som en 40 år yngre nils petter sundgren.

Hej, kan inte du berätta hur det gick för dig, jag sitter i en liknande situation, ska sätta upp server som inte kommer vara åtkomlig externt.

  • Medlem
  • Lund
  • 2007-09-05 10:54

Om man redan har en domän för webbsida och e-postadresser (som hostas någon annanstans) så kan man ju använda den. Hitta på en intern subdomän bara. T.ex. om ni har www.foretaget.se så döper ni servern till intern.foretaget.se eller abakus.foretaget.se eller vad tusan ni vill. Subdomänen registrerar ni ingen annanstans, så det spelar ingen roll vilket namn ni väljer. Vill ni sen göra servern extern kan ni ju registrera subdomänen i den externa dns:en.

  • Medlem
  • Gävle
  • 2007-09-06 01:22

Precis som hugin säger.

1. Sätt hostname (FQDN) till server.domain.internal eller liknande. (använd inte .local ! )
Info: http://docs.info.apple.com/article.html?artnum=303495

2. Se till att DNS är igång på någon maskin i nätverket och att servern har den som DNS. Registrera sedan servern i DNS:en. (Både IP-numemr och FQDN)
10.0.0.1(server-ip) -> server.domain.internal
server.domain.internal -> 10.0.0.1(server-ip)

4. Testa DNS och hostname i terminalen. skriv t.ex.:
host 10.0.0.1 (din servers IP)
Du ska då få server.domain.internal som svar.
Skriv:
host server.domain.internal
Du ska då få serverns ip-adress som svar.
Skriv:
hostname
Du ska få server.domain.internal som svar.

3. Promota till OD Master. All info om Kerberos ska fyllas i automatiskt, med din FQDN i versaler. Alltså SERVER.DOMAIN.INTERNAL. Gör den inte det så är något fel med DNS:en eller hostname.

Sen är det bara att läsa manualen för OD om hur du sätter upp konton och grejer.
Men du ska iaf in i WGM och autentisera dig på /LDAPv3/127.0.0.1 som diradmin.

Ursprungligen av mbp:

2. Se till att DNS är igång på någon maskin i nätverket och att servern har den som DNS. Registrera sedan servern i DNS:en. (Både IP-numemr och FQDN)
10.0.0.1(server-ip) -> server.domain.internal
server.domain.internal -> 10.0.0.1(server-ip)

4. Testa DNS och hostname i terminalen. skriv t.ex.:
host 10.0.0.1 (din servers IP)
Du ska då få server.domain.internal som svar.
Skriv:
host server.domain.internal
Du ska då få serverns ip-adress som svar.
Skriv:
hostname
Du ska få server.domain.internal som svar.

Jag undrar en sak - jag har min server bakom en brandvägg (är det smart till att börja med??).

Det gör det svårt för mig att få fram en externt IP-adress för den, den har ju istället tex 192.168.0.15. Dessutom har jag inget fast IP, utan dynamisk tilldelning från ISP:n. Jag tänkte att jag skulle köra en dynamisk uppdaterad DNS, skulle det funka?

Utan att lösa ovanstående kan jag inte få någon konsekvent DNS - som verkar vara väldigt viktigt för att OD ska funka...? Snälla hjälp...

/S

Tack mbp för bra information, du får det att låta som något jag klarar av. Ska försöka...

Ursprungligen av Mattias Hedman:

Blev tvungen att byta domän på server från den domän jag skrev in när jag installerade servern.
Jag har ändrat hostname, ändrat i DNSen allt fungerar perfekt där via.
Tog servern från Open Directory Master (ODM) till Standalone och till ODM igen.
Kerberos startade inte läste i manualen (!) att sådant kan hända, fanns en lösning på det.
Körde den och Kerberos hoppade igång. Tjoohoo tänkte jag Apple har skrivit en manual som fungerar!
Men tji fick jag.
Nu när jag går in på servern igen är Kerberos avstängt, Apples lösning fungerar inte.
Klickar på "Kerberize" anger mitt lösenord, 4 sek sedan kommer panelen upp igen och igen och igen och igen tills jag trycker på Cancel och inte har någon Kerberos igång.

Varför? Vad ska jag göra?

Du borde använt kommandor changeip. Det brukar funka bra om du vill byta ipnummer och/eller hostname.
Tänk på att använda changeip, sedan byta ipnummer och omedelbart därefter boota om.
Som vanligt gäller att det måste finnas fungerande dns med fram/bakåtuppslagning för den nya adressen

Tack men svaret kommer cirka två år försent för min del.

Nu håller på och trilskas med en OS X Server som inte vill ladda sig i Server Admin det bara står och snurrar. Både lokalt och remote. Nåja jag har tid och vänta har annat som måste göras.

Jo visst. Bättre sent än aldrig:">
Å andra sidan var ju tråden rätt aktiv och såg inte någon annan som pratat om changeip

Nej jag förstod att det var så. Det är sant ingen har nämnt det!
Inte ens glemme.
changeip känner jag till mycket väl. Nu kommer jag inte ihåg exakt vad Apples lösning var.

Ehhhh står servern bakom en egen brandvägg?
Så du har inte internt när alls?

Min OD-miljö hemma står på ett dynamiskt ip utåt men internt har den att fast och det är kerberos rullar.

Ursprungligen av Mattias Hedman:

Ehhhh står servern bakom en egen brandvägg?
Så du har inte internt när alls?

Min OD-miljö hemma står på ett dynamiskt ip utåt men internt har den att fast och det är kerberos rullar.

Jo självklart står den bakom brandvägg på samma nät som alla företagets datorer. Så Dynamisk DNS funkar bra alltså? Hur gör du att den har både internt och externt IP m kerberos? Kan du förklara hur du har konfat kerberos och OD? Det är på samma sätt jag kommer konfigurera min server (för det är väl smart att ha en brandvägg).

Jag har mobila hemkataloger för offline bruk för det ändåmålet.
Jag ansluter alltså inte mot ODet externt, skulle jag behöva gör det skulle jag köra via VPN.
Varför vill du göra det?

Jag skulle rekommendera att du anlitar en konsultfirma som fixar detta åt dig.

Ursprungligen av Mattias Hedman:

Jag har mobila hemkataloger för offline bruk för det ändåmålet.
Jag ansluter alltså inte mot ODet externt, skulle jag behöva gör det skulle jag köra via VPN.
Varför vill du göra det?

Jag skulle rekommendera att du anlitar en konsultfirma som fixar detta åt dig.

Jaha, några tips på konsultfirmor? Jag skulle gärna lära mig själv, så om någon på forumet vill konsult-coacha mig - maila!

Finns redan rätt mycke skrivet om OD och kerberos i server-forumet. Börja med att leta där.

Bevaka tråden