Bonjour,
J'ai un problème qui auparavant n'arrivait qu'une fois sur 10
(démarrages) et maintenant je suis bloqué car le problème se manisfeste
à chaque fois.
Soient deux serveur A et B, chacun possède dans "format de répertoire"
la base d'authentification LDAP de l'autre serveur.
J'ai donc deux bases de comptes, mais chaque utilisateur se connecte sur
l'un ou sur l'autre. (Les deux serveurs sont reliés par VPN).
Or depuis quelques jours et malgrés de très nombreux redémarrages :
A accepte les comptes de B, mais
B refuse les comptes de A.
J'ai évidement "tout" vérifié et "tout" est symétrique...
Un autre indice qui est sans doute lié, mais que je n'explique pas non
plus :
Si je connecte "gestionnaire de groupe de travail" sur A, il est bien
"admin" sur les deux bases LDAP de A et B
Mais,
Si je connecte "gestionnaire de groupe de travail" sur B, il est
"admin" sur sa base LDAP mais "non authentifié" sur la base de A.
et évidement l'authetification manuelle en cliquant sur le cadenas
échoue.
il semble que A refuse d'authentifier B, c'est à dire le contraire de ce
qui se passe pour les comptes.
Si vous avez une idée ou déjà sur lequel des deux serveurs
dysfonctionne...
Si vous avez une idée ou déjà sur lequel des deux serveurs dysfonctionne...
Euh, pourquoi avoir fait deux Maître Open Directory (si je comprends bien) et pas un Maître et une Réplique ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick ESNAULT <patrick.noXmail.esnault@cfd.noXmail.fr> wrote:
Si vous avez une idée ou déjà sur lequel des deux serveurs
dysfonctionne...
Euh, pourquoi avoir fait deux Maître Open Directory (si je comprends
bien) et pas un Maître et une Réplique ?
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Si vous avez une idée ou déjà sur lequel des deux serveurs dysfonctionne...
Euh, pourquoi avoir fait deux Maître Open Directory (si je comprends bien) et pas un Maître et une Réplique ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
patrick.noXmail.esnault
Laurent Pertois wrote:
Patrick ESNAULT wrote:
Si vous avez une idée ou déjà sur lequel des deux serveurs dysfonctionne...
Euh, pourquoi avoir fait deux Maître Open Directory (si je comprends bien) et pas un Maître et une Réplique ? Pour deux raisons :
1) La distance : les deux serveurs sont sur des sites distants avec "une certaine autonomie informatique". 2) Chaque serveur est Controleur d'un Domaine Windows sur son site. Comme il n'y a pas de contrôleur secondaire sous Mac OS, et que ma liaison VPN est trop lente (sdsl 2Mb quand même), j'avais renoncé à l'époque à un contrôleur unique. La moindre panne du tunnel me plantait tous les utilisateurs du coté qui n'avait pas de PDC.
La solution retenu me laisse une certaine autonomie locale en permettant les accès croisés sur les serveurs.
Patrick ESNAULT <patrick.noXmail.esnault@cfd.noXmail.fr> wrote:
Si vous avez une idée ou déjà sur lequel des deux serveurs
dysfonctionne...
Euh, pourquoi avoir fait deux Maître Open Directory (si je comprends
bien) et pas un Maître et une Réplique ?
Pour deux raisons :
1) La distance : les deux serveurs sont sur des sites distants avec "une
certaine autonomie informatique".
2) Chaque serveur est Controleur d'un Domaine Windows sur son site.
Comme il n'y a pas de contrôleur secondaire sous Mac OS, et que ma
liaison VPN est trop lente (sdsl 2Mb quand même), j'avais renoncé à
l'époque à un contrôleur unique. La moindre panne du tunnel me plantait
tous les utilisateurs du coté qui n'avait pas de PDC.
La solution retenu me laisse une certaine autonomie locale en permettant
les accès croisés sur les serveurs.
Si vous avez une idée ou déjà sur lequel des deux serveurs dysfonctionne...
Euh, pourquoi avoir fait deux Maître Open Directory (si je comprends bien) et pas un Maître et une Réplique ? Pour deux raisons :
1) La distance : les deux serveurs sont sur des sites distants avec "une certaine autonomie informatique". 2) Chaque serveur est Controleur d'un Domaine Windows sur son site. Comme il n'y a pas de contrôleur secondaire sous Mac OS, et que ma liaison VPN est trop lente (sdsl 2Mb quand même), j'avais renoncé à l'époque à un contrôleur unique. La moindre panne du tunnel me plantait tous les utilisateurs du coté qui n'avait pas de PDC.
La solution retenu me laisse une certaine autonomie locale en permettant les accès croisés sur les serveurs.
laurent.pertois
Patrick ESNAULT wrote:
Laurent Pertois wrote:
Euh, pourquoi avoir fait deux Maître Open Directory (si je comprends bien) et pas un Maître et une Réplique ? Pour deux raisons :
1) La distance : les deux serveurs sont sur des sites distants avec "une certaine autonomie informatique".
Ca, ça ne se justifie pas, une Réplique authentifie de la même façon.
Les clients vont aller se connecter au plus rapide, de chaque côté il te suffirait d'indiquer le nom du serveur du site. En cas de panne de ce serveur, l'autre serait à même de répondre.
2) Chaque serveur est Controleur d'un Domaine Windows sur son site. Comme il n'y a pas de contrôleur secondaire sous Mac OS, et que ma liaison VPN est trop lente (sdsl 2Mb quand même), j'avais renoncé à l'époque à un contrôleur unique. La moindre panne du tunnel me plantait tous les utilisateurs du coté qui n'avait pas de PDC.
Ca, c'est effectivement plus embêtant mais corrigé en 10.4. Mais là, je comprends mieux.
La solution retenu me laisse une certaine autonomie locale en permettant les accès croisés sur les serveurs.
Ben non, ça ne te permet plus ;-)
Bon, tes deux admins ont le même nom ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick ESNAULT <patrick.noXmail.esnault@cfd.noXmail.fr> wrote:
Euh, pourquoi avoir fait deux Maître Open Directory (si je comprends
bien) et pas un Maître et une Réplique ?
Pour deux raisons :
1) La distance : les deux serveurs sont sur des sites distants avec "une
certaine autonomie informatique".
Ca, ça ne se justifie pas, une Réplique authentifie de la même façon.
Les clients vont aller se connecter au plus rapide, de chaque côté il te
suffirait d'indiquer le nom du serveur du site. En cas de panne de ce
serveur, l'autre serait à même de répondre.
2) Chaque serveur est Controleur d'un Domaine Windows sur son site.
Comme il n'y a pas de contrôleur secondaire sous Mac OS, et que ma
liaison VPN est trop lente (sdsl 2Mb quand même), j'avais renoncé à
l'époque à un contrôleur unique. La moindre panne du tunnel me plantait
tous les utilisateurs du coté qui n'avait pas de PDC.
Ca, c'est effectivement plus embêtant mais corrigé en 10.4. Mais là, je
comprends mieux.
La solution retenu me laisse une certaine autonomie locale en permettant
les accès croisés sur les serveurs.
Ben non, ça ne te permet plus ;-)
Bon, tes deux admins ont le même nom ?
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Euh, pourquoi avoir fait deux Maître Open Directory (si je comprends bien) et pas un Maître et une Réplique ? Pour deux raisons :
1) La distance : les deux serveurs sont sur des sites distants avec "une certaine autonomie informatique".
Ca, ça ne se justifie pas, une Réplique authentifie de la même façon.
Les clients vont aller se connecter au plus rapide, de chaque côté il te suffirait d'indiquer le nom du serveur du site. En cas de panne de ce serveur, l'autre serait à même de répondre.
2) Chaque serveur est Controleur d'un Domaine Windows sur son site. Comme il n'y a pas de contrôleur secondaire sous Mac OS, et que ma liaison VPN est trop lente (sdsl 2Mb quand même), j'avais renoncé à l'époque à un contrôleur unique. La moindre panne du tunnel me plantait tous les utilisateurs du coté qui n'avait pas de PDC.
Ca, c'est effectivement plus embêtant mais corrigé en 10.4. Mais là, je comprends mieux.
La solution retenu me laisse une certaine autonomie locale en permettant les accès croisés sur les serveurs.
Ben non, ça ne te permet plus ;-)
Bon, tes deux admins ont le même nom ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
patrick.noXmail.esnault
Laurent Pertois wrote:
Ca, ça ne se justifie pas, une Réplique authentifie de la même façon. A ce propos, j'ai lu sur un NG que si on élève une réplique en maître
elle conserve la base. C'est vrais ou c'est une c... Si c'est vrai, c'est une méthode simple pour migrer un serveur sur un autre ? Le fond de ma question est que j'hésite à acheter un autre serveur pour séparer la gestion de réseau du serveur de mail. Dans ce cas il me faudra migrer ma base LDAP -là je vois encore- mais aussi mes authentifications de mes pc windows -et là j'ai peur-.
Bon, tes deux admins ont le même nom ? L'admin de base, oui
mais j'ai créé un "adminA" sur A et un "adminB" sur B pour voir... et je n'ai rien vu !
Au fait, dans le workgroup manager, quand il accède à une base LDAP externe c'est sous quel compte ?
Ca, ça ne se justifie pas, une Réplique authentifie de la même façon.
A ce propos, j'ai lu sur un NG que si on élève une réplique en maître
elle conserve la base. C'est vrais ou c'est une c...
Si c'est vrai, c'est une méthode simple pour migrer un serveur sur un
autre ?
Le fond de ma question est que j'hésite à acheter un autre serveur pour
séparer la gestion de réseau du serveur de mail.
Dans ce cas il me faudra migrer ma base LDAP -là je vois encore- mais
aussi mes authentifications de mes pc windows -et là j'ai peur-.
Bon, tes deux admins ont le même nom ?
L'admin de base, oui
mais j'ai créé un "adminA" sur A et un "adminB" sur B pour voir...
et je n'ai rien vu !
Au fait, dans le workgroup manager, quand il accède à une base LDAP
externe c'est sous quel compte ?
Ca, ça ne se justifie pas, une Réplique authentifie de la même façon. A ce propos, j'ai lu sur un NG que si on élève une réplique en maître
elle conserve la base. C'est vrais ou c'est une c... Si c'est vrai, c'est une méthode simple pour migrer un serveur sur un autre ? Le fond de ma question est que j'hésite à acheter un autre serveur pour séparer la gestion de réseau du serveur de mail. Dans ce cas il me faudra migrer ma base LDAP -là je vois encore- mais aussi mes authentifications de mes pc windows -et là j'ai peur-.
Bon, tes deux admins ont le même nom ? L'admin de base, oui
mais j'ai créé un "adminA" sur A et un "adminB" sur B pour voir... et je n'ai rien vu !
Au fait, dans le workgroup manager, quand il accède à une base LDAP externe c'est sous quel compte ?
laurent.pertois
Patrick ESNAULT wrote:
Laurent Pertois wrote:
Ca, ça ne se justifie pas, une Réplique authentifie de la même façon.
A ce propos, j'ai lu sur un NG que si on élève une réplique en maître elle conserve la base. C'est vrais ou c'est une c...
Ben, vi, quand même, c'est un peu le but.
Par contre, attention à tout ce qui est adresses IP.
Si c'est vrai, c'est une méthode simple pour migrer un serveur sur un autre ?
C'est une idée, effectivement.
Le fond de ma question est que j'hésite à acheter un autre serveur pour séparer la gestion de réseau du serveur de mail. Dans ce cas il me faudra migrer ma base LDAP -là je vois encore- mais aussi mes authentifications de mes pc windows -et là j'ai peur-.
Euh, pourquoi faire dans ce cas une réplique ? tu fais simplement un serveur connecté au Maître.
Bon, tes deux admins ont le même nom ? L'admin de base, oui
mais j'ai créé un "adminA" sur A et un "adminB" sur B pour voir... et je n'ai rien vu !
Au fait, dans le workgroup manager, quand il accède à une base LDAP externe c'est sous quel compte ?
Ben, celui que tu as tu utilisé dans la fenêtre de connexion de WGM. S'il est dans le LDAP et dans le Netinfo local, on passe sur le LDAP.
Après, si tu as utilisé le même admin en local et sur le LDAP, ce n'est pas bon.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick ESNAULT <patrick.noXmail.esnault@cfd.noXmail.fr> wrote:
Ca, ça ne se justifie pas, une Réplique authentifie de la même façon.
A ce propos, j'ai lu sur un NG que si on élève une réplique en maître
elle conserve la base. C'est vrais ou c'est une c...
Ben, vi, quand même, c'est un peu le but.
Par contre, attention à tout ce qui est adresses IP.
Si c'est vrai, c'est une méthode simple pour migrer un serveur sur un
autre ?
C'est une idée, effectivement.
Le fond de ma question est que j'hésite à acheter un autre serveur pour
séparer la gestion de réseau du serveur de mail.
Dans ce cas il me faudra migrer ma base LDAP -là je vois encore- mais
aussi mes authentifications de mes pc windows -et là j'ai peur-.
Euh, pourquoi faire dans ce cas une réplique ? tu fais simplement un
serveur connecté au Maître.
Bon, tes deux admins ont le même nom ?
L'admin de base, oui
mais j'ai créé un "adminA" sur A et un "adminB" sur B pour voir...
et je n'ai rien vu !
Au fait, dans le workgroup manager, quand il accède à une base LDAP
externe c'est sous quel compte ?
Ben, celui que tu as tu utilisé dans la fenêtre de connexion de WGM.
S'il est dans le LDAP et dans le Netinfo local, on passe sur le LDAP.
Après, si tu as utilisé le même admin en local et sur le LDAP, ce n'est
pas bon.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Ca, ça ne se justifie pas, une Réplique authentifie de la même façon.
A ce propos, j'ai lu sur un NG que si on élève une réplique en maître elle conserve la base. C'est vrais ou c'est une c...
Ben, vi, quand même, c'est un peu le but.
Par contre, attention à tout ce qui est adresses IP.
Si c'est vrai, c'est une méthode simple pour migrer un serveur sur un autre ?
C'est une idée, effectivement.
Le fond de ma question est que j'hésite à acheter un autre serveur pour séparer la gestion de réseau du serveur de mail. Dans ce cas il me faudra migrer ma base LDAP -là je vois encore- mais aussi mes authentifications de mes pc windows -et là j'ai peur-.
Euh, pourquoi faire dans ce cas une réplique ? tu fais simplement un serveur connecté au Maître.
Bon, tes deux admins ont le même nom ? L'admin de base, oui
mais j'ai créé un "adminA" sur A et un "adminB" sur B pour voir... et je n'ai rien vu !
Au fait, dans le workgroup manager, quand il accède à une base LDAP externe c'est sous quel compte ?
Ben, celui que tu as tu utilisé dans la fenêtre de connexion de WGM. S'il est dans le LDAP et dans le Netinfo local, on passe sur le LDAP.
Après, si tu as utilisé le même admin en local et sur le LDAP, ce n'est pas bon.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
patrick.noxmail.esnault
Laurent Pertois wrote:
A ce propos, j'ai lu sur un NG que si on élève une réplique en maître elle conserve la base. C'est vrais ou c'est une c...
Ben, vi, quand même, c'est un peu le but.
Par contre, attention à tout ce qui est adresses IP. J'y avais pensé, mais comme le but c'est de laisser le serveur de mail à
son adresse et de migrer vers un nouveau serveur les services réseau : c'est pas trop difficile, le nouveau serveur aurait une nouvelle adresse.
Le fond de ma question est que j'hésite à acheter un autre serveur pour séparer la gestion de réseau du serveur de mail. Dans ce cas il me faudra migrer ma base LDAP -là je vois encore- mais aussi mes authentifications de mes pc windows -et là j'ai peur-.
Euh, pourquoi faire dans ce cas une réplique ? tu fais simplement un serveur connecté au Maître. Je ne comprends pas : le but c'est de transférer l'authentification des
PC (le PDC) sur une autre serveur. Si je garde le maître, j'ai rien gagné : epuis un PDC doit être sur un maître, pas sur une réplique. Plus précisément je veux migrer mon serveur de mail dans une DMZ et donc rapatrier le PDC sur le réseau interne.
Au fait, dans le workgroup manager, quand il accède à une base LDAP externe c'est sous quel compte ?
Ben, celui que tu as tu utilisé dans la fenêtre de connexion de WGM. S'il est dans le LDAP et dans le Netinfo local, on passe sur le LDAP. Quand un serveur a besoin d'une authentification sur un autre serveur :
il utilise bien un compte à lui. Il serait choquant qu'il utilise un compte dans WGM (celui qu'on a utilisé pour se connecter) et quand c'est pour lui un autre ?
Après, si tu as utilisé le même admin en local et sur le LDAP, ce n'est pas bon. Heu, j'ai rien fait chef !
C'est le mac tout seul qui a placé un admin 501 dans ma base LDAP. Mais cela redonne du sens à la remarque précédente...
A ce propos, j'ai lu sur un NG que si on élève une réplique en maître
elle conserve la base. C'est vrais ou c'est une c...
Ben, vi, quand même, c'est un peu le but.
Par contre, attention à tout ce qui est adresses IP.
J'y avais pensé, mais comme le but c'est de laisser le serveur de mail à
son adresse et de migrer vers un nouveau serveur les services réseau :
c'est pas trop difficile, le nouveau serveur aurait une nouvelle
adresse.
Le fond de ma question est que j'hésite à acheter un autre serveur pour
séparer la gestion de réseau du serveur de mail.
Dans ce cas il me faudra migrer ma base LDAP -là je vois encore- mais
aussi mes authentifications de mes pc windows -et là j'ai peur-.
Euh, pourquoi faire dans ce cas une réplique ? tu fais simplement un
serveur connecté au Maître.
Je ne comprends pas : le but c'est de transférer l'authentification des
PC (le PDC) sur une autre serveur. Si je garde le maître, j'ai rien
gagné : epuis un PDC doit être sur un maître, pas sur une réplique.
Plus précisément je veux migrer mon serveur de mail dans une DMZ et donc
rapatrier le PDC sur le réseau interne.
Au fait, dans le workgroup manager, quand il accède à une base LDAP
externe c'est sous quel compte ?
Ben, celui que tu as tu utilisé dans la fenêtre de connexion de WGM.
S'il est dans le LDAP et dans le Netinfo local, on passe sur le LDAP.
Quand un serveur a besoin d'une authentification sur un autre serveur :
il utilise bien un compte à lui.
Il serait choquant qu'il utilise un compte dans WGM (celui qu'on a
utilisé pour se connecter) et quand c'est pour lui un autre ?
Après, si tu as utilisé le même admin en local et sur le LDAP, ce n'est
pas bon.
Heu, j'ai rien fait chef !
C'est le mac tout seul qui a placé un admin 501 dans ma base LDAP.
Mais cela redonne du sens à la remarque précédente...
A ce propos, j'ai lu sur un NG que si on élève une réplique en maître elle conserve la base. C'est vrais ou c'est une c...
Ben, vi, quand même, c'est un peu le but.
Par contre, attention à tout ce qui est adresses IP. J'y avais pensé, mais comme le but c'est de laisser le serveur de mail à
son adresse et de migrer vers un nouveau serveur les services réseau : c'est pas trop difficile, le nouveau serveur aurait une nouvelle adresse.
Le fond de ma question est que j'hésite à acheter un autre serveur pour séparer la gestion de réseau du serveur de mail. Dans ce cas il me faudra migrer ma base LDAP -là je vois encore- mais aussi mes authentifications de mes pc windows -et là j'ai peur-.
Euh, pourquoi faire dans ce cas une réplique ? tu fais simplement un serveur connecté au Maître. Je ne comprends pas : le but c'est de transférer l'authentification des
PC (le PDC) sur une autre serveur. Si je garde le maître, j'ai rien gagné : epuis un PDC doit être sur un maître, pas sur une réplique. Plus précisément je veux migrer mon serveur de mail dans une DMZ et donc rapatrier le PDC sur le réseau interne.
Au fait, dans le workgroup manager, quand il accède à une base LDAP externe c'est sous quel compte ?
Ben, celui que tu as tu utilisé dans la fenêtre de connexion de WGM. S'il est dans le LDAP et dans le Netinfo local, on passe sur le LDAP. Quand un serveur a besoin d'une authentification sur un autre serveur :
il utilise bien un compte à lui. Il serait choquant qu'il utilise un compte dans WGM (celui qu'on a utilisé pour se connecter) et quand c'est pour lui un autre ?
Après, si tu as utilisé le même admin en local et sur le LDAP, ce n'est pas bon. Heu, j'ai rien fait chef !
C'est le mac tout seul qui a placé un admin 501 dans ma base LDAP. Mais cela redonne du sens à la remarque précédente...
laurent.pertois
Patrick ESNAULT wrote:
Laurent Pertois wrote:
Ben, vi, quand même, c'est un peu le but.
Par contre, attention à tout ce qui est adresses IP. J'y avais pensé, mais comme le but c'est de laisser le serveur de mail à
son adresse et de migrer vers un nouveau serveur les services réseau : c'est pas trop difficile, le nouveau serveur aurait une nouvelle adresse.
Ok.
Euh, pourquoi faire dans ce cas une réplique ? tu fais simplement un serveur connecté au Maître. Je ne comprends pas : le but c'est de transférer l'authentification des
PC (le PDC) sur une autre serveur. Si je garde le maître, j'ai rien gagné : epuis un PDC doit être sur un maître, pas sur une réplique. Plus précisément je veux migrer mon serveur de mail dans une DMZ et donc rapatrier le PDC sur le réseau interne.
Ok, dans ce cas tu vas devoir transférer le rôle de maître sur ton second serveur, l'idée d'en faire une réplique à laquelle tu appliqueras une promotion n'est pas mauvaise mais peut révéler des soucis lorsque tu dégraderas ton Maître actuel, àmha.
Ben, celui que tu as tu utilisé dans la fenêtre de connexion de WGM. S'il est dans le LDAP et dans le Netinfo local, on passe sur le LDAP. Quand un serveur a besoin d'une authentification sur un autre serveur :
il utilise bien un compte à lui. Il serait choquant qu'il utilise un compte dans WGM (celui qu'on a utilisé pour se connecter) et quand c'est pour lui un autre ?
???
La meilleure méthode est d'avoir un admin local différent pour chaque serveur et un différent pour chaque maître pour éviter les confusions dans l'ordre de recherche.
Après, si tu as utilisé le même admin en local et sur le LDAP, ce n'est pas bon. Heu, j'ai rien fait chef !
:-)
C'est le mac tout seul qui a placé un admin 501 dans ma base LDAP. Mais cela redonne du sens à la remarque précédente...
Quand tu donnes un rôle de Maître à ton serveur il te demande quel admin transférer dans la base LDAP. La bonne chose à faire est de créer un second admin dans le Netinfo avant la promotion, d'utiliser ce nom lors de la création du Maître et ensuite de supprimer ce second compte admin de la base Netinfo locale.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick ESNAULT <patrick.noxmail.esnault@cfd.noxmail.fr> wrote:
Par contre, attention à tout ce qui est adresses IP.
J'y avais pensé, mais comme le but c'est de laisser le serveur de mail à
son adresse et de migrer vers un nouveau serveur les services réseau :
c'est pas trop difficile, le nouveau serveur aurait une nouvelle
adresse.
Ok.
Euh, pourquoi faire dans ce cas une réplique ? tu fais simplement un
serveur connecté au Maître.
Je ne comprends pas : le but c'est de transférer l'authentification des
PC (le PDC) sur une autre serveur. Si je garde le maître, j'ai rien
gagné : epuis un PDC doit être sur un maître, pas sur une réplique.
Plus précisément je veux migrer mon serveur de mail dans une DMZ et donc
rapatrier le PDC sur le réseau interne.
Ok, dans ce cas tu vas devoir transférer le rôle de maître sur ton
second serveur, l'idée d'en faire une réplique à laquelle tu appliqueras
une promotion n'est pas mauvaise mais peut révéler des soucis lorsque tu
dégraderas ton Maître actuel, àmha.
Ben, celui que tu as tu utilisé dans la fenêtre de connexion de WGM.
S'il est dans le LDAP et dans le Netinfo local, on passe sur le LDAP.
Quand un serveur a besoin d'une authentification sur un autre serveur :
il utilise bien un compte à lui.
Il serait choquant qu'il utilise un compte dans WGM (celui qu'on a
utilisé pour se connecter) et quand c'est pour lui un autre ?
???
La meilleure méthode est d'avoir un admin local différent pour chaque
serveur et un différent pour chaque maître pour éviter les confusions
dans l'ordre de recherche.
Après, si tu as utilisé le même admin en local et sur le LDAP, ce n'est
pas bon.
Heu, j'ai rien fait chef !
:-)
C'est le mac tout seul qui a placé un admin 501 dans ma base LDAP.
Mais cela redonne du sens à la remarque précédente...
Quand tu donnes un rôle de Maître à ton serveur il te demande quel admin
transférer dans la base LDAP. La bonne chose à faire est de créer un
second admin dans le Netinfo avant la promotion, d'utiliser ce nom lors
de la création du Maître et ensuite de supprimer ce second compte admin
de la base Netinfo locale.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Par contre, attention à tout ce qui est adresses IP. J'y avais pensé, mais comme le but c'est de laisser le serveur de mail à
son adresse et de migrer vers un nouveau serveur les services réseau : c'est pas trop difficile, le nouveau serveur aurait une nouvelle adresse.
Ok.
Euh, pourquoi faire dans ce cas une réplique ? tu fais simplement un serveur connecté au Maître. Je ne comprends pas : le but c'est de transférer l'authentification des
PC (le PDC) sur une autre serveur. Si je garde le maître, j'ai rien gagné : epuis un PDC doit être sur un maître, pas sur une réplique. Plus précisément je veux migrer mon serveur de mail dans une DMZ et donc rapatrier le PDC sur le réseau interne.
Ok, dans ce cas tu vas devoir transférer le rôle de maître sur ton second serveur, l'idée d'en faire une réplique à laquelle tu appliqueras une promotion n'est pas mauvaise mais peut révéler des soucis lorsque tu dégraderas ton Maître actuel, àmha.
Ben, celui que tu as tu utilisé dans la fenêtre de connexion de WGM. S'il est dans le LDAP et dans le Netinfo local, on passe sur le LDAP. Quand un serveur a besoin d'une authentification sur un autre serveur :
il utilise bien un compte à lui. Il serait choquant qu'il utilise un compte dans WGM (celui qu'on a utilisé pour se connecter) et quand c'est pour lui un autre ?
???
La meilleure méthode est d'avoir un admin local différent pour chaque serveur et un différent pour chaque maître pour éviter les confusions dans l'ordre de recherche.
Après, si tu as utilisé le même admin en local et sur le LDAP, ce n'est pas bon. Heu, j'ai rien fait chef !
:-)
C'est le mac tout seul qui a placé un admin 501 dans ma base LDAP. Mais cela redonne du sens à la remarque précédente...
Quand tu donnes un rôle de Maître à ton serveur il te demande quel admin transférer dans la base LDAP. La bonne chose à faire est de créer un second admin dans le Netinfo avant la promotion, d'utiliser ce nom lors de la création du Maître et ensuite de supprimer ce second compte admin de la base Netinfo locale.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
patrick.noXmail.esnault
Laurent Pertois wrote:
Quand tu donnes un rôle de Maître à ton serveur il te demande quel admin transférer dans la base LDAP. La bonne chose à faire est de créer un second admin dans le Netinfo avant la promotion, d'utiliser ce nom lors de la création du Maître et ensuite de supprimer ce second compte admin de la base Netinfo locale.
Effectivement cela me semble logique...maintenant. Je me coucherai moins ignorant !
Mais APRES la promotion, si je créé un admin dans LDAP et que je supprime le premier (501) c'est la cata où ça marche ?
Quand tu donnes un rôle de Maître à ton serveur il te demande quel admin
transférer dans la base LDAP. La bonne chose à faire est de créer un
second admin dans le Netinfo avant la promotion, d'utiliser ce nom lors
de la création du Maître et ensuite de supprimer ce second compte admin
de la base Netinfo locale.
Effectivement cela me semble logique...maintenant.
Je me coucherai moins ignorant !
Mais APRES la promotion, si je créé un admin dans LDAP et que je
supprime le premier (501) c'est la cata où ça marche ?
Quand tu donnes un rôle de Maître à ton serveur il te demande quel admin transférer dans la base LDAP. La bonne chose à faire est de créer un second admin dans le Netinfo avant la promotion, d'utiliser ce nom lors de la création du Maître et ensuite de supprimer ce second compte admin de la base Netinfo locale.
Effectivement cela me semble logique...maintenant. Je me coucherai moins ignorant !
Mais APRES la promotion, si je créé un admin dans LDAP et que je supprime le premier (501) c'est la cata où ça marche ?
laurent.pertois
Patrick ESNAULT wrote:
Mais APRES la promotion, si je créé un admin dans LDAP et que je supprime le premier (501) c'est la cata où ça marche ?
Ca peut être la cata si tu ne vérifies pas ses droits sur le serveur de mot de passe et KDC, notamment. Perso je ne le ferais pas.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick ESNAULT <patrick.noXmail.esnault@cfd.noXmail.fr> wrote:
Mais APRES la promotion, si je créé un admin dans LDAP et que je
supprime le premier (501) c'est la cata où ça marche ?
Ca peut être la cata si tu ne vérifies pas ses droits sur le serveur de
mot de passe et KDC, notamment. Perso je ne le ferais pas.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Mais APRES la promotion, si je créé un admin dans LDAP et que je supprime le premier (501) c'est la cata où ça marche ?
Ca peut être la cata si tu ne vérifies pas ses droits sur le serveur de mot de passe et KDC, notamment. Perso je ne le ferais pas.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
patrick.noXmail.esnault
Laurent Pertois wrote:
Patrick ESNAULT wrote:
Mais APRES la promotion, si je créé un admin dans LDAP et que je supprime le premier (501) c'est la cata où ça marche ?
Ca peut être la cata si tu ne vérifies pas ses droits sur le serveur de mot de passe et KDC, notamment. Perso je ne le ferais pas. OK
Pour mon problème d'origine, je viens de découvrir que je ne peux plus modifier le psw d'un comptre NetInfo si son psw est "avancé" Par contre, je peux créer un utilisateur avec psw "avancé" et modifier son psw.
Patrick ESNAULT <patrick.noXmail.esnault@cfd.noXmail.fr> wrote:
Mais APRES la promotion, si je créé un admin dans LDAP et que je
supprime le premier (501) c'est la cata où ça marche ?
Ca peut être la cata si tu ne vérifies pas ses droits sur le serveur de
mot de passe et KDC, notamment. Perso je ne le ferais pas.
OK
Pour mon problème d'origine, je viens de découvrir que je ne peux plus
modifier le psw d'un comptre NetInfo si son psw est "avancé"
Par contre, je peux créer un utilisateur avec psw "avancé" et modifier
son psw.
Mais APRES la promotion, si je créé un admin dans LDAP et que je supprime le premier (501) c'est la cata où ça marche ?
Ca peut être la cata si tu ne vérifies pas ses droits sur le serveur de mot de passe et KDC, notamment. Perso je ne le ferais pas. OK
Pour mon problème d'origine, je viens de découvrir que je ne peux plus modifier le psw d'un comptre NetInfo si son psw est "avancé" Par contre, je peux créer un utilisateur avec psw "avancé" et modifier son psw.
