[Mac OS X Server - 10.4.9] Utilisateurs et groupes inaccessibles

MagalieJ <mag@lery.nom.fr> wrote:

Je n'ai pas réussi à formuler mon problème intelligemment pour que
Google me vienne en aide. Et le support en ligne d'Apple me parle de
chose que je ne trouve pas, notamment de fichiers .idx à supprimer (
http://docs.info.apple.com/article.html?artnumˆ023 ) mais je ne suis
même pas sûre que cet article se rapporte vraiment à mon problème (mon
Mac OS X Server est en français, désolée ! ;-) )

Pour sûr cet article n'est pas le bon.

Concernant les utilisateurs, quelle est la config exacte de ce serveur
(Maître Open Directory...) ? quelle version de l'OS ?

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Laurent Pertois <laurent.pertois@alussinan.org> wrote:

MagalieJ <mag@lery.nom.fr> wrote:

Je n'ai pas réussi à formuler mon problème intelligemment pour que
Google me vienne en aide. Et le support en ligne d'Apple me parle de
chose que je ne trouve pas, notamment de fichiers .idx à supprimer (
http://docs.info.apple.com/article.html?artnumˆ023 ) mais je ne suis
même pas sûre que cet article se rapporte vraiment à mon problème (mon
Mac OS X Server est en français, désolée ! ;-) )

Pour sûr cet article n'est pas le bon.

Ah... Je me disais bien aussi ! ;-)

Concernant les utilisateurs, quelle est la config exacte de ce serveur
(Maître Open Directory...) ?

Il est effectivement en Maître Open Directory.
Les autres informations résumées sur la "vue d'ensemble" sont :

lookupd : en service
netinfod : local uniquement
slapd : en service
serveur de mot de passe : en service
Kerberos : arrêté

quelle version de l'OS ?

Mac OS X Server 10.4.9.
J'ai fait une vérification aujourd'hui : tout est à jour.


--
Mag'

MagalieJ <mag@lery.nom.fr> wrote:

Concernant les utilisateurs, quelle est la config exacte de ce serveur
(Maître Open Directory...) ?

Il est effectivement en Maître Open Directory.

Ok, et les utilisateurs sont donc dans la base LDAP du serveur ?

Les autres informations résumées sur la "vue d'ensemble" sont :

lookupd : en service
netinfod : local uniquement
slapd : en service
serveur de mot de passe : en service
Kerberos : arrêté

Kerberos arrêté, erreur dans le DNS :)

quelle version de l'OS ?

Mac OS X Server 10.4.9.
J'ai fait une vérification aujourd'hui : tout est à jour.

Bon, est-ce que dans l'utilitaire Format de Répertoire, LDAPv3, tu as
bien le serveur qui se référence lui-même : 127.0.0.1. De même dans
l'onglet Authentification du même utilitaire.

Que donne cette commande :

$ dscl localhost -list /LDAPv3/127.0.0.1/Users

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Laurent Pertois <laurent.pertois@alussinan.org> wrote:

MagalieJ <mag@lery.nom.fr> wrote:

Concernant les utilisateurs, quelle est la config exacte de ce serveur
(Maître Open Directory...) ?

Il est effectivement en Maître Open Directory.

Ok, et les utilisateurs sont donc dans la base LDAP du serveur ?

Normalement, oui.

Les autres informations résumées sur la "vue d'ensemble" sont :
<snip>

Kerberos : arrêté

Kerberos arrêté, erreur dans le DNS :)

Vi... D'ailleurs, faudra que je me penche sur la question un de ces
quatre matins ! ;-)
Pour le moment, ma philosophie est : si j'ai un doute sur un service et
que la documentation me semble obscure, je ne le lance pas et j'attends
d'en savoir un peu plus !
Ceci dit, je me demande si justement je n'ai pas "bidouillé" le DNS
avant que tout ceci tombe en panne... Parce que je n'ai lancé ce service
que très récemment, pensant avoir un peu mieux appréhendé le
fonctionnement global... Mais je me demande si je n'ai pas un peu
présumé de ma compréhension globale, là...

Bon, est-ce que dans l'utilitaire Format de Répertoire, LDAPv3, tu as
bien le serveur qui se référence lui-même : 127.0.0.1. De même dans
l'onglet Authentification du même utilitaire.

Non mais bon sang mais c'est bien sûr ! ;-)

Je m'explique : sur l'onglet "Services", l'activité LDAPv3 est bien
cochée (version 1.7.4). Si je clique sur "Configurer", j'ai les
informations suivantes (j'ai cliqué sur "masquer les options" pour voir
un maximum d'infos) :
- Décoché => "Ajouter les serveurs LDAP fournis par DHCP aux règles de
recherche automatique"
- Tableau "Activer ; Nom de la configuration ; Nom serveur/adresse IP ;
Mappages LDAP ; SSL" => complètement vide

Par contre, j'ai bien /LDAPv3/127.0.0.1 dans l'onglet
"Authentification".

Du coup, j'ai ajouté une ligne dans le tableau dans "Services" avec
comme adresse IP 127.0.0.1... Et ça marche !!!

Quand même, je me pose une question : comment cette ligne a-t-elle pu
"disparaître" ? Je veux dire par là : quelle énorme gourance ai-je
commise pour en arriver là ???


Bon et quand je dis que ça marche, ce n'est pas tout à fait exact...
J'ai de nouveau accès à mes dossiers partagés avec les logins de mes
comptes paramétrés par Gestionnaire de Groupe de Travail. J'ai également
pu de nouveau accéder à Gestionnaire de Groupe de Travail et tous mes
comptes et groupes sont bien présents tels qu'avant la "disparition".

Par contre, Mail.app n'arrive toujours pas à se connecter avec le
serveur... Ceci dit, l'erreur a changé de type : maintenant, c'est
"Erreur détectée par le serveur : Échec de la tentative de lecture de
données depuis le serveur licorne.local" (Licorne est le nom de mon
serveur).

Plus étrange, dans les logs du service "Courrier", j'ai bien la
connexion de l'utilisateur sans message d'erreur...

Que donne cette commande :

$ dscl localhost -list /LDAPv3/127.0.0.1/Users

[Avant la correction]

list: Invalid Path

[Après la correction]

la liste de mes users

En tout cas, déjà mille mercis !!! J'ai de nouveau accès "normalement"
aux répertoires partagés.
Il ne me manque plus que l'accès à mon compte imap... Surtout que ce
sont toutes les archives de mes messages électroniques des 3 ou 4
dernières années ! Plus tout mon courrier professionnel "traité"...
Bref, plein de messages que j'aimerai autant ne pas perdre ! :-)

--
Mag'

MagalieJ <mag@lery.nom.fr> wrote:

Kerberos arrêté, erreur dans le DNS :)

Vi... D'ailleurs, faudra que je me penche sur la question un de ces
quatre matins ! ;-)
Pour le moment, ma philosophie est : si j'ai un doute sur un service et
que la documentation me semble obscure, je ne le lance pas et j'attends
d'en savoir un peu plus !

Une erreure dans le dns, ça peut créer des problèmes à n'en plus finir.
On conseille généralement de régler ça avant d'aller plus loin.
Le truc, c'est que bon nombre de services se basent sur le dns et font
des vérification sur le dns.

Plus bas tu dis que tu utilises une adresse "licorne.local"
Perso je mettrais une ip fixe sur le serveur, si c'est pas déjà fait,
puis j'utiliserais le hostname, pas le .local.
Voir l'IP, puisque tu as des problèmes de dns.

Le test de base pour le dns est le suivant :
(pompé d'un pdf de Mike Bombich)
% hostname
xserve.apple.edu
% host xserve.apple.edu
xserve.apple.edu has address 10.0.1.8
% host 10.0.1.8
8.1.0.10.in-addr.arpa domain name pointer xserve.apple.edu.

Perso après ça depuis le client je fais un dig :

$ dig monserveur.ici.ch
[snip]
;; ANSWER SECTION:
monserveur.ici.ch. 6183 IN A 130.223.123.123

$ dig -x 130.223.123.123
[snip]
;; ANSWER SECTION:
123.123.223.130.in-addr.arpa. 3600 IN PTR monserveur.ici.ch.

Si les info ne concordent pas, précise nous ce que tu as dans tes
réglages DNS ...


--
Nicolas, pas pro de Mac OS X serveur pour autant

Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:

MagalieJ <mag@lery.nom.fr> wrote:

Kerberos arrêté, erreur dans le DNS :)

Vi... D'ailleurs, faudra que je me penche sur la question un de ces
quatre matins ! ;-)
Pour le moment, ma philosophie est : si j'ai un doute sur un service et
que la documentation me semble obscure, je ne le lance pas et j'attends
d'en savoir un peu plus !

Une erreure dans le dns, ça peut créer des problèmes à n'en plus finir.
On conseille généralement de régler ça avant d'aller plus loin.

D'accord. Alors j'ai carrément coupé le service "DNS". Ça fonctionnait
avant comme ça, ça devrait pouvoir marché de nouveau... Mais non,
malheureusement, ça n'a pas résolu mon problème d'accès à mon
courrier...

<snip>

Plus bas tu dis que tu utilises une adresse "licorne.local"
Perso je mettrais une ip fixe sur le serveur, si c'est pas déjà fait,

J'avais bien mis une IP fixe sur mon serveur (10.0.1.254).

puis j'utiliserais le hostname, pas le .local.

Question idiote : pourquoi ne puis-je pas utiliser le ".local" ? Juste
une recommandation ou bien une incompatibilité quelconque ?

<snip>

% hostname
Licorne.local

% host xserve.apple.edu
Host Licorne.local not found: 3(NXDOMAIN)

/* En même temps, ça m'aurait étonné d'avoir quelque chose, là... Je
suis d'ailleurs surprise du "hostname" */

% host 10.0.1.254
Host 254.1.0.10.in-addr.arpa not found: 3(NXDOMAIN)

Perso après ça depuis le client je fais un dig :
<snip mais je garde ça dans un coin quand même ! ;-) >

--
Mag'

Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:

Plus bas tu dis que tu utilises une adresse "licorne.local"
Perso je mettrais une ip fixe sur le serveur, si c'est pas déjà fait,
puis j'utiliserais le hostname, pas le .local.

Pour l'IP fixe, j'ose espérer que c'est déjà fait. Pour le nom .local,
je suis d'accord même si ça n'a rien à voir avec l'ip fixe.


--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

MagalieJ <mag@lery.nom.fr> wrote:

puis j'utiliserais le hostname, pas le .local.

Question idiote : pourquoi ne puis-je pas utiliser le ".local" ? Juste
une recommandation ou bien une incompatibilité quelconque ?

Bah, c'est un hostname de pis-aller, en fait, faute de mieux. Tu dois
avoir des logs pleins de lignes disant qu'il ne trouve pas son hostname
et que du coup il se rabat sur licorne.local.

% host xserve.apple.edu
Host Licorne.local not found: 3(NXDOMAIN)

/* En même temps, ça m'aurait étonné d'avoir quelque chose, là... Je
suis d'ailleurs surprise du "hostname" */

Bah, oui, avoir quelque chose serait surprenant mais pas impossible. Par
contre, il a pris ce qu'il a trouvé, le nom bonjour.

Concernant ta réponse à mon message, je regarde ça plus en détail tout à
l'heure ou demain matin.

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

MagalieJ <mag@lery.nom.fr> wrote:

D'accord. Alors j'ai carrément coupé le service "DNS". Ça fonctionnait
avant comme ça, ça devrait pouvoir marché de nouveau... Mais non,
malheureusement, ça n'a pas résolu mon problème d'accès à mon
courrier...

2 ou 3 petites choses ... qui vont me rafraichir les idées à moi aussi.

le dns "Domain Name System" est le lien entre un hostname et une IP.
(http://fr.wikipedia.org/wiki/DNS)
Donc à partir d'un hostname, www.apple.com, tu obtiens une IP.

Dans ton cas tu n'as pas de "vrais" hostname, donc le dns ne sait pas
que faire, logiquement.

le mDNS, ou multicast DNS, est un composant de Bonjour, aussi appelé
zeroconf, qui permet de dialoguer sur un réseau local sans passer par un
dns. Dans ton cas, Licorne.local est le nom mDNS.

Tu as un réseau 10.X.X.X C'est à dire que c'est un réseau "privé", non
routable. Tu as sans-doutes un "boitier" routeur + nat qui fait
probablement dhcp et dns également.
Et là je ne sais pas comment ça se passe mais je me demande s'il ne
pourrait pas y avoir pas un conflict de domaines entre ton serveur et le
"routeur". Ou même un conflict d'IP non routables, si tu as du 192.168
sur le routeur. (truc courant)

Des commandes genre :

dig @10.0.1.1 -x 10.0.1.1
où 10.0.1.1 serait l'adresse du routeur

et
dig -x @10.0.1.254 10.0.1.1

pourraient nous donner une idée de la situation, en plus de la
description de ton réseau.

(traditionnellement le X.X.X.1 est l'adresse du routeur)

Question idiote : pourquoi ne puis-je pas utiliser le ".local" ? Juste
une recommandation ou bien une incompatibilité quelconque ?

Cela va dépendre de quelques facteurs.
Je suppose que sur du Mac le .local pourrait fonctionner.
Mais si tu as une imprimante, du windose, du linux, du modem, ...
tous ces trucs ne sont pas forcément compatible bonjour.

% hostname
Licorne.local

Comme le dit Laurent, c'est pas un hostname, le .local est un domaine
réservé par Apple pour le protocole bonjour.

% host xserve.apple.edu
Host Licorne.local not found: 3(NXDOMAIN)

Pas étonnant :)

/* En même temps, ça m'aurait étonné d'avoir quelque chose, là... Je
suis d'ailleurs surprise du "hostname" */

Il faudrait que tu nous en dise plus sur les réglages de ton serveur.


--
Nicolas

Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:

MagalieJ <mag@lery.nom.fr> wrote:
(...)

le mDNS, ou multicast DNS, est un composant de Bonjour, aussi appelé
zeroconf, qui permet de dialoguer sur un réseau local sans passer par un
dns. Dans ton cas, Licorne.local est le nom mDNS.

Ah ! Un rayon de soleil dans ma compréhension du système ! Je comprends
maintenant ce que c'est que ce "mDNS" et à quoi il sert ! Merci !

Tu as un réseau 10.X.X.X C'est à dire que c'est un réseau "privé", non
routable. Tu as sans-doutes un "boitier" routeur + nat qui fait
probablement dhcp et dns également.

Ma configuration exacte est : "modem câble" + lien ethernet sur port Wan
d'une borne Airport Extreme + lien ethernet de la borne sur le MacMini
J'ai changé la config matérielle ce WE. Avant, j'avais une borne Airport
Express reliée au modem-câble et tout le réseau était en WiFi. Le
MacMini ayant la désagréable habitude de "perdre" le réseau WiFi
régulièrement, j'ai changé de tactique.

Le NAT est effectivement sur la borne (même si je ne l'ai pas
re-paramétré suite à mes modifs du WE). Il ne me semble pas qu'il y ait
de DNS ni sur le modem ni sur la borne. Quant au DHCP, il est activé sur
la borne.

(...)

dig @10.0.1.1 -x 10.0.1.1
; <<>> DiG 9.3.4 <<>> @10.0.1.1 -x 10.0.1.1

; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 31911
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;1.1.0.10.in-addr.arpa. IN PTR

;; Query time: 15 msec
;; SERVER: 10.0.1.1#53(10.0.1.1)
;; WHEN: Tue Jun 12 13:23:18 2007
;; MSG SIZE rcvd: 39

dig -x @10.0.1.254 10.0.1.1
;; Got answer:

;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 51692
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;254.1.0.@10.in-addr.arpa. IN PTR

;; Query time: 61 msec
;; SERVER: 10.0.1.1#53(10.0.1.1)
;; WHEN: Tue Jun 12 13:24:43 2007
;; MSG SIZE rcvd: 42


; <<>> DiG 9.3.4 <<>> -x @10.0.1.254 10.0.1.1
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27578
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;10.0.1.1. IN A

;; ANSWER SECTION:
10.0.1.1. 655360 IN A 10.0.1.1

;; Query time: 13 msec
;; SERVER: 10.0.1.1#53(10.0.1.1)
;; WHEN: Tue Jun 12 13:24:43 2007
;; MSG SIZE rcvd: 42


Je ne suis pas sûre de bien comprendre les informations fournies par
"dig" (en fait, je suis même sûre de ne rien comprendre pour le moment
!)... Mais j'apprends des milliards de choses, là ! Merci pour toute
votre aide !

Cependant, je n'avais pas mis en route le service "DNS" tout de suite et
pourtant, mon serveur IMAP fonctionnait... Là, j'ai essayé plusieurs
choses, mais je ne vois pas pourquoi il n'arrive plus à se connecter sur
le compte de l'utilisateur...


--
Mag'