Je retente une fois de plus des tests d'intgration AD-OD,
selon la méthode de Mactroll postée sur afp548.
Donc j'ai monté un OD.
Le client arrive à joindre l'OD,
il s'inscrit dans la liste des machines et je la vois sur le serveur,
mais ensuite le client n'arrive plus à contacter l'OD.
Par exemple si juste après le bind je fais un
dscl /LDAPv3/monserveur.ici.ch
Il me dit "data source is not valide"
en interactif, je vois "monserveur.ici.ch" mais un
cd monserveur.ici.ch
me dit "invalid path"
En local sur le serveur, par contre, la même opération pointe sur l'IP
127.0.0.1 et fonctionne bien.
Un ping ou un dig sur "monserveur.ici.ch" ne pause pas de problème, il
est joignable.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
laurent.pertois
Nicolas MICHEL wrote:
Une idée ?
Refais sans binding d'abord, tu pourras toujours tenter le binding après. Pour le nettoyage vire le dossier suivant sur le client :
/Library/Preferences/DirectoryService
et redémarre histoire de bien vider les caches.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:
Une idée ?
Refais sans binding d'abord, tu pourras toujours tenter le binding
après. Pour le nettoyage vire le dossier suivant sur le client :
/Library/Preferences/DirectoryService
et redémarre histoire de bien vider les caches.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Refais sans binding d'abord, tu pourras toujours tenter le binding après. Pour le nettoyage vire le dossier suivant sur le client :
/Library/Preferences/DirectoryService
et redémarre histoire de bien vider les caches.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nicolas.MICHEL
Laurent Pertois wrote:
Nicolas MICHEL wrote:
Une idée ?
Refais sans binding d'abord, tu pourras toujours tenter le binding après. Pour le nettoyage vire le dossier suivant sur le client :
Alors j'ai pas dû bien m'exprimer. Par binding, je pensais simplement à l'ajout du service dans les Directory Services. Après avoir ajouté l'AD, il est vrais.
A noter que l'erreur "-14130" que je vois après avoir passé les DirectoryService en "debug mode" corespondrait selon le web à une erreur de mappage ldap, ce qui n'a pas de sense puisque j'ai utilisé soit le schéma préféfinit par le serveur, soit le schéma OD.
/Library/Preferences/DirectoryService
et redémarre histoire de bien vider les caches.
Testé, sans succès.
Puis j'ai trouvé un problème similaire résolu en effaçant les pref comme tu le dit, plus dans netinfo le dossier config/mcx_cache. Pas mieux.
Je ne penses pas que ce soit un problème du DNS, que je n'ai pas activé sur le serveur, puisque j'ai le même problème en entrant l'IP.
Par contre je me demande s'il n'y a pas un problème de kerberos ... Est-ce qu'il est nécessaire d'avoir un domaine kerberos sur l'OD pour que la connexion ldap fonctionne ?
Refais sans binding d'abord, tu pourras toujours tenter le binding
après. Pour le nettoyage vire le dossier suivant sur le client :
Alors j'ai pas dû bien m'exprimer.
Par binding, je pensais simplement à l'ajout du service dans les
Directory Services. Après avoir ajouté l'AD, il est vrais.
A noter que l'erreur "-14130" que je vois après avoir passé les
DirectoryService en "debug mode" corespondrait selon le web à une erreur
de mappage ldap, ce qui n'a pas de sense puisque j'ai utilisé soit le
schéma préféfinit par le serveur, soit le schéma OD.
/Library/Preferences/DirectoryService
et redémarre histoire de bien vider les caches.
Testé, sans succès.
Puis j'ai trouvé un problème similaire résolu en effaçant les pref comme
tu le dit, plus dans netinfo le dossier config/mcx_cache. Pas mieux.
Je ne penses pas que ce soit un problème du DNS, que je n'ai pas activé
sur le serveur, puisque j'ai le même problème en entrant l'IP.
Par contre je me demande s'il n'y a pas un problème de kerberos ...
Est-ce qu'il est nécessaire d'avoir un domaine kerberos sur l'OD pour
que la connexion ldap fonctionne ?
Refais sans binding d'abord, tu pourras toujours tenter le binding après. Pour le nettoyage vire le dossier suivant sur le client :
Alors j'ai pas dû bien m'exprimer. Par binding, je pensais simplement à l'ajout du service dans les Directory Services. Après avoir ajouté l'AD, il est vrais.
A noter que l'erreur "-14130" que je vois après avoir passé les DirectoryService en "debug mode" corespondrait selon le web à une erreur de mappage ldap, ce qui n'a pas de sense puisque j'ai utilisé soit le schéma préféfinit par le serveur, soit le schéma OD.
/Library/Preferences/DirectoryService
et redémarre histoire de bien vider les caches.
Testé, sans succès.
Puis j'ai trouvé un problème similaire résolu en effaçant les pref comme tu le dit, plus dans netinfo le dossier config/mcx_cache. Pas mieux.
Je ne penses pas que ce soit un problème du DNS, que je n'ai pas activé sur le serveur, puisque j'ai le même problème en entrant l'IP.
Par contre je me demande s'il n'y a pas un problème de kerberos ... Est-ce qu'il est nécessaire d'avoir un domaine kerberos sur l'OD pour que la connexion ldap fonctionne ?
Merci Laurent :) -- Nicolas
laurent.pertois
Nicolas MICHEL wrote:
Laurent Pertois wrote:
Nicolas MICHEL wrote:
Une idée ?
Refais sans binding d'abord, tu pourras toujours tenter le binding après. Pour le nettoyage vire le dossier suivant sur le client :
Alors j'ai pas dû bien m'exprimer. Par binding, je pensais simplement à l'ajout du service dans les Directory Services. Après avoir ajouté l'AD, il est vrais.
Lorsque tu fais la jonction OD, as-tu mis un nom et un mdp d'admin dans la fenêtre de jonction ? cette action ajoute la machine dans la base de machines (un peu à la AD) et établis une relation de confiance avec un mdp machine.
A noter que l'erreur "-14130" que je vois après avoir passé les DirectoryService en "debug mode" corespondrait selon le web à une erreur de mappage ldap, ce qui n'a pas de sense puisque j'ai utilisé soit le schéma préféfinit par le serveur, soit le schéma OD.
Choisis le mappage Open Directory au lieu de "From Server", pour tester.
/Library/Preferences/DirectoryService
et redémarre histoire de bien vider les caches.
Testé, sans succès.
Y a comme un blème. Des triangles j'en ai fait déjà plusieurs avec de l'AD et même du Novell.
Par contre je me demande s'il n'y a pas un problème de kerberos ...
Beuh, regarde le edu.mit.kerberos.
Est-ce qu'il est nécessaire d'avoir un domaine kerberos sur l'OD pour que la connexion ldap fonctionne ?
Non, enfin, ça peut compliquer. Mais il vaut donc mieux faire la jonction AD après pour éviter que la config Kerberos de l'OD écrase celle de l'AD.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Refais sans binding d'abord, tu pourras toujours tenter le binding
après. Pour le nettoyage vire le dossier suivant sur le client :
Alors j'ai pas dû bien m'exprimer.
Par binding, je pensais simplement à l'ajout du service dans les
Directory Services. Après avoir ajouté l'AD, il est vrais.
Lorsque tu fais la jonction OD, as-tu mis un nom et un mdp d'admin dans
la fenêtre de jonction ? cette action ajoute la machine dans la base de
machines (un peu à la AD) et établis une relation de confiance avec un
mdp machine.
A noter que l'erreur "-14130" que je vois après avoir passé les
DirectoryService en "debug mode" corespondrait selon le web à une erreur
de mappage ldap, ce qui n'a pas de sense puisque j'ai utilisé soit le
schéma préféfinit par le serveur, soit le schéma OD.
Choisis le mappage Open Directory au lieu de "From Server", pour tester.
/Library/Preferences/DirectoryService
et redémarre histoire de bien vider les caches.
Testé, sans succès.
Y a comme un blème. Des triangles j'en ai fait déjà plusieurs avec de
l'AD et même du Novell.
Par contre je me demande s'il n'y a pas un problème de kerberos ...
Beuh, regarde le edu.mit.kerberos.
Est-ce qu'il est nécessaire d'avoir un domaine kerberos sur l'OD pour
que la connexion ldap fonctionne ?
Non, enfin, ça peut compliquer. Mais il vaut donc mieux faire la
jonction AD après pour éviter que la config Kerberos de l'OD écrase
celle de l'AD.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Refais sans binding d'abord, tu pourras toujours tenter le binding après. Pour le nettoyage vire le dossier suivant sur le client :
Alors j'ai pas dû bien m'exprimer. Par binding, je pensais simplement à l'ajout du service dans les Directory Services. Après avoir ajouté l'AD, il est vrais.
Lorsque tu fais la jonction OD, as-tu mis un nom et un mdp d'admin dans la fenêtre de jonction ? cette action ajoute la machine dans la base de machines (un peu à la AD) et établis une relation de confiance avec un mdp machine.
A noter que l'erreur "-14130" que je vois après avoir passé les DirectoryService en "debug mode" corespondrait selon le web à une erreur de mappage ldap, ce qui n'a pas de sense puisque j'ai utilisé soit le schéma préféfinit par le serveur, soit le schéma OD.
Choisis le mappage Open Directory au lieu de "From Server", pour tester.
/Library/Preferences/DirectoryService
et redémarre histoire de bien vider les caches.
Testé, sans succès.
Y a comme un blème. Des triangles j'en ai fait déjà plusieurs avec de l'AD et même du Novell.
Par contre je me demande s'il n'y a pas un problème de kerberos ...
Beuh, regarde le edu.mit.kerberos.
Est-ce qu'il est nécessaire d'avoir un domaine kerberos sur l'OD pour que la connexion ldap fonctionne ?
Non, enfin, ça peut compliquer. Mais il vaut donc mieux faire la jonction AD après pour éviter que la config Kerberos de l'OD écrase celle de l'AD.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nicolas.MICHEL
Laurent Pertois wrote:
Lorsque tu fais la jonction OD, as-tu mis un nom et un mdp d'admin dans la fenêtre de jonction ? cette action ajoute la machine dans la base de machines (un peu à la AD) et établis une relation de confiance avec un mdp machine.
Oui, ça c'est fait. La machine apparait dans la liste sur le serveur.
Choisis le mappage Open Directory au lieu de "From Server", pour tester.
C'est testé, bien sûr.
Est-ce qu'il est nécessaire d'avoir un domaine kerberos sur l'OD pour que la connexion ldap fonctionne ?
Non, enfin, ça peut compliquer. Mais il vaut donc mieux faire la jonction AD après pour éviter que la config Kerberos de l'OD écrase celle de l'AD.
Ok.Comme d'hab, dans la tomate, formate. Et on reprends le tout demain matin.
Lorsque tu fais la jonction OD, as-tu mis un nom et un mdp d'admin dans
la fenêtre de jonction ? cette action ajoute la machine dans la base de
machines (un peu à la AD) et établis une relation de confiance avec un
mdp machine.
Oui, ça c'est fait.
La machine apparait dans la liste sur le serveur.
Choisis le mappage Open Directory au lieu de "From Server", pour tester.
C'est testé, bien sûr.
Est-ce qu'il est nécessaire d'avoir un domaine kerberos sur l'OD pour
que la connexion ldap fonctionne ?
Non, enfin, ça peut compliquer. Mais il vaut donc mieux faire la
jonction AD après pour éviter que la config Kerberos de l'OD écrase
celle de l'AD.
Ok.Comme d'hab, dans la tomate, formate.
Et on reprends le tout demain matin.
Lorsque tu fais la jonction OD, as-tu mis un nom et un mdp d'admin dans la fenêtre de jonction ? cette action ajoute la machine dans la base de machines (un peu à la AD) et établis une relation de confiance avec un mdp machine.
Oui, ça c'est fait. La machine apparait dans la liste sur le serveur.
Choisis le mappage Open Directory au lieu de "From Server", pour tester.
C'est testé, bien sûr.
Est-ce qu'il est nécessaire d'avoir un domaine kerberos sur l'OD pour que la connexion ldap fonctionne ?
Non, enfin, ça peut compliquer. Mais il vaut donc mieux faire la jonction AD après pour éviter que la config Kerberos de l'OD écrase celle de l'AD.
Ok.Comme d'hab, dans la tomate, formate. Et on reprends le tout demain matin.
Merci :) -- Nicolas
laurent.pertois
Nicolas MICHEL wrote:
Laurent Pertois wrote:
Lorsque tu fais la jonction OD, as-tu mis un nom et un mdp d'admin dans la fenêtre de jonction ? cette action ajoute la machine dans la base de machines (un peu à la AD) et établis une relation de confiance avec un mdp machine.
Oui, ça c'est fait. La machine apparait dans la liste sur le serveur.
Ben, essaie de ne justement pas faire cette étape (nom et mdp admin OD) lors de la connexion LDAP, ce n'est pas obligatoire.
Choisis le mappage Open Directory au lieu de "From Server", pour tester.
C'est testé, bien sûr.
Y a donc autre chose.
Non, enfin, ça peut compliquer. Mais il vaut donc mieux faire la jonction AD après pour éviter que la config Kerberos de l'OD écrase celle de l'AD.
Ok.Comme d'hab, dans la tomate, formate. Et on reprends le tout demain matin.
De nada :-)
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Lorsque tu fais la jonction OD, as-tu mis un nom et un mdp d'admin dans
la fenêtre de jonction ? cette action ajoute la machine dans la base de
machines (un peu à la AD) et établis une relation de confiance avec un
mdp machine.
Oui, ça c'est fait.
La machine apparait dans la liste sur le serveur.
Ben, essaie de ne justement pas faire cette étape (nom et mdp admin OD)
lors de la connexion LDAP, ce n'est pas obligatoire.
Choisis le mappage Open Directory au lieu de "From Server", pour tester.
C'est testé, bien sûr.
Y a donc autre chose.
Non, enfin, ça peut compliquer. Mais il vaut donc mieux faire la
jonction AD après pour éviter que la config Kerberos de l'OD écrase
celle de l'AD.
Ok.Comme d'hab, dans la tomate, formate.
Et on reprends le tout demain matin.
De nada :-)
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Lorsque tu fais la jonction OD, as-tu mis un nom et un mdp d'admin dans la fenêtre de jonction ? cette action ajoute la machine dans la base de machines (un peu à la AD) et établis une relation de confiance avec un mdp machine.
Oui, ça c'est fait. La machine apparait dans la liste sur le serveur.
Ben, essaie de ne justement pas faire cette étape (nom et mdp admin OD) lors de la connexion LDAP, ce n'est pas obligatoire.
Choisis le mappage Open Directory au lieu de "From Server", pour tester.
C'est testé, bien sûr.
Y a donc autre chose.
Non, enfin, ça peut compliquer. Mais il vaut donc mieux faire la jonction AD après pour éviter que la config Kerberos de l'OD écrase celle de l'AD.
Ok.Comme d'hab, dans la tomate, formate. Et on reprends le tout demain matin.
De nada :-)
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
