Mots de passe Open Directory : help !

Patrick Esnault <patrick.noxxmail.esnault@cfd.noxmail.fr> wrote:

Je viens d'installer Panther serveur à partir de rien sur un Xserve.
A l'initialisation, j'ai créé un compte "administrateur", puis terminé
l'installation.
Puis impossible de me reconnecter (refus de mon psw).

Tu étais bien connecté en réseau ? Quel OS ?

Heureusement, j'avais activé root au cas où avant

Il est toujours activé sur un OS X Server avec le même mot de passe que
le premier admin.

et j'ai pu me loger en
root et constater
qu' "il" m'avait créé un compte "administrateur" avec un psw "open
Directory".
Impossible de réinitialiser le mot de passe.

Normal, tu n'avais pas accès au serveur de mot de passe qui a du être
initialisé par le premier admin.

J'ai donc réinitialisé le psw avec le CD d'installation, et il est
maintenant "shadow".

Pas bon.

Comment puis-je accéder à Open Directory, puisque je n'ai pas de psw "Open
Directory" ?

Connecter la bécane en réseau.

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Laurent Pertois <laurent.pertois@alussinan.org> wrote:

Patrick Esnault <patrick.noxxmail.esnault@cfd.noxmail.fr> wrote:

Je viens d'installer Panther serveur à partir de rien sur un Xserve.
A l'initialisation, j'ai créé un compte "administrateur", puis terminé
l'installation.
Puis impossible de me reconnecter (refus de mon psw).

Tu étais bien connecté en réseau ? Quel OS ?
le réseau était en cours d'installation, sinon j'étais avec un clavier

directement sur le serveur
/10.3v106

Heureusement, j'avais activé root au cas où avant

Il est toujours activé sur un OS X Server avec le même mot de passe que
le premier admin.
J'ai un doute, mais comme j'ai configuré un G5 en même temps, j'ai peut

être mélangé les deux.

et j'ai pu me loger en
root et constater
qu' "il" m'avait créé un compte "administrateur" avec un psw "open
Directory".
Impossible de réinitialiser le mot de passe.

Normal, tu n'avais pas accès au serveur de mot de passe qui a du être
initialisé par le premier admin.
Pourquoi normal ? Je suis certain de mon psw.

J'étais le premier admin...avant qu'il ne change le psw !

J'ai donc réinitialisé le psw avec le CD d'installation, et il est
maintenant "shadow".

Pas bon.
Je m'en doutais un peu, mais c'est ce que le technicien de l'Applecare

m'a dit de faire...

Comment puis-je accéder à Open Directory, puisque je n'ai pas de psw "Open
Directory" ?

Connecter la bécane en réseau.
En quoi est-ce que cela me donne accès à un compte avec un psw Open

Directory ?

Patrick ESNAULT <patrick.noXmail.esnault@cfd.noXmail.fr> wrote:

Laurent Pertois <laurent.pertois@alussinan.org> wrote:

Tu étais bien connecté en réseau ? Quel OS ?
le réseau était en cours d'installation, sinon j'étais avec un clavier

directement sur le serveur

Donc le serveur n'était pas relié au réseau ? il n'était même pas
branché à un simple hub lui permettant de lancer la couche réseau ?

/10.3v106

Ok, ça ne fait que renforcer ce que j'ai dit. Toujours le connecter au
réseau, et configurer le DNS ou lui donner une entrée dans un DNS !

Il est toujours activé sur un OS X Server avec le même mot de passe que
le premier admin.

J'ai un doute, mais comme j'ai configuré un G5 en même temps, j'ai peut
être mélangé les deux.

Certainement ;-)

Normal, tu n'avais pas accès au serveur de mot de passe qui a du être
initialisé par le premier admin.

Pourquoi normal ? Je suis certain de mon psw.

Ben oui, moi aussi :)

J'étais le premier admin...avant qu'il ne change le psw !

Il n'a rien changé, tu n'as pas respecté le premier commandement du Mac
OS X Server 10.3 (et précédents aussi, au passage), ne jamais rien
toucher tant que la bécane n'est pas reliée à un réseau.

Ce qui s'est passé c'est que tu as activé tout un tas de services qui
nécessitent une connexion réseau. Même si on est directement sur le
serveur il s'interroge lui-même en réseau et si tu n'es pas en réseau,
ben tu ne peux interroger ces services. Au premier rang, un élément
appelé Serveur de mots de passe qui contient tous les mots de passe
OpenDirectory. Pas de réseau, impossible de vérifier le mot de passe de
ton admin. Il n'avait pas été changé, il était inaccessible, donc pas de
connexion. La seule exception, le mot de passe root.

Pas bon.
Je m'en doutais un peu, mais c'est ce que le technicien de l'Applecare

m'a dit de faire...

Aaarrrgggllllll, tu lui as bien dit que tu étais sur un serveur ?

Connecter la bécane en réseau.

En quoi est-ce que cela me donne accès à un compte avec un psw Open
Directory ?

Ca te donne accès à un truc tout con, le serveur de mot de passe qui
stocke les mots de passe.

Bonne lecture, les guides OS X Serveur représentent environ 1600 pages,
il serait temps d'en lire quelques-unes, Mac OS X Server, surtout en
configuration OpenDirectory, n'est pas un ASIP...

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Donc le serveur n'était pas relié au réseau ? il n'était même pas
branché à un simple hub lui permettant de lancer la couche réseau ?
J'installais en même temps le serveur de messagerie, et comme je ne

voulais pas que les emails arrivent sur un logiciel non encore
totalement configuré, j'avais débranché la prise réseau.

J'étais le premier admin...avant qu'il ne change le psw !
Il n'a rien changé, tu n'as pas respecté le premier commandement du Mac

OS X Server 10.3 (et précédents aussi, au passage), ne jamais rien
toucher tant que la bécane n'est pas reliée à un réseau.
Je note pour la 10.4 :-)

Ce qui s'est passé c'est que tu as activé tout un tas de services qui
nécessitent une connexion réseau. Même si on est directement sur le
serveur il s'interroge lui-même en réseau et si tu n'es pas en réseau,
ben tu ne peux interroger ces services. Au premier rang, un élément
appelé Serveur de mots de passe qui contient tous les mots de passe
OpenDirectory. Pas de réseau, impossible de vérifier le mot de passe de
ton admin. Il n'avait pas été changé, il était inaccessible, donc pas de
connexion. La seule exception, le mot de passe root.

Je m'en doutais un peu, mais c'est ce que le technicien de l'Applecare
m'a dit de faire...
Aaarrrgggllllll, tu lui as bien dit que tu étais sur un serveur ?

oui. Mais il a demandé à son chef avant de me répondre !

Connecter la bécane en réseau.
En quoi est-ce que cela me donne accès à un compte avec un psw Open

Directory ?
Ca te donne accès à un truc tout con, le serveur de mot de passe qui

stocke les mots de passe.
Quand tu dis "en réseau", cela veut dire "le réseau branché", mais

accéder au serveur en réseau ou en local ne change rien ?
Le réseau est actif depuis longtemps maintenant, et mes mots de passe
Open Directory ne marchent pas.
Je n'ai plus de compte avec un mot de passe Open Directory.

Bonne lecture, les guides OS X Serveur représentent environ 1600 pages,
il serait temps d'en lire quelques-unes, Mac OS X Server, surtout en
configuration OpenDirectory, n'est pas un ASIP...
J'ai pas lu les 1600 pages , mais un certain nombre,

"Open_Directory.pdf" renvoi sur "User_Management_Admin.pdf" et
inversement.
Bon, je vais me faire un WE de lecture entre les lignes...

Si j'osais une dernière question : mon serveur est "autonome" pour les
services Windows au sein d'un réseau W2000, AD.
Pour Open Directory, je suis aussi "autonome", dois-je le commuter en
"Maître" ?

Patrick ESNAULT <patrick.noXmail.esnault@cfd.noXmail.fr> wrote:

Donc le serveur n'était pas relié au réseau ? il n'était même pas
branché à un simple hub lui permettant de lancer la couche réseau ?
J'installais en même temps le serveur de messagerie, et comme je ne

voulais pas que les emails arrivent sur un logiciel non encore
totalement configuré, j'avais débranché la prise réseau.

Dans ce cas, tu prends un switch ou même un hub de base, tu branches le
serveur dessus, il y a de l'activité sur la prise ethernet, Mac OS X
Server est content, tu ne relies ton switch/hub à rien, rien n'arrive
sur ton serveur :)

Attention, quand on l'installe, bien lui mettre la bonne IP dès le
départ, après, il est trop tard pour la changer. En 10.2.x on avait un
script fourni par Apple (sur la KBase), mais on a toujours rien en 10.3.

Il n'a rien changé, tu n'as pas respecté le premier commandement du Mac
OS X Server 10.3 (et précédents aussi, au passage), ne jamais rien
toucher tant que la bécane n'est pas reliée à un réseau.
Je note pour la 10.4 :-)

Ben, vu ce que tu dis, tu pourrais presque réinstaller :(

Truc utile, dans Server Admin, en bas à droite des réglages, la petite
icone, tu l'attrapes et tu glisses sur le bureau, ça sauvegarde la
config, si tu réinstalles, tu n'as qu'à glisser ce fichier .plist sur la
fenêtre de réglages, et hop, magique.

Je m'en doutais un peu, mais c'est ce que le technicien de l'Applecare
m'a dit de faire...
Aaarrrgggllllll, tu lui as bien dit que tu étais sur un serveur ?

oui. Mais il a demandé à son chef avant de me répondre !

Ca, ça ne n'apporte pas forcément un gage de fiabilité :(

Tu sais à quel niveau de service tu étais (niveau 1, 2, supérieur)

Ca te donne accès à un truc tout con, le serveur de mot de passe qui
stocke les mots de passe.
Quand tu dis "en réseau", cela veut dire "le réseau branché", mais

accéder au serveur en réseau ou en local ne change rien ?

Oui, enfin, si je comprends bien ce que tu veux dire. Ce que je voulais
dire, c'est que pour pouvoir interroger le serveur de mot de passe, il
faut que Mac OS X Server soit relié à un réseau, que ce dernier soit le
réseau de ton entreprise ou un réseau simple avec un hub et ton Mac OS X
Server branché dessus et rien d'autre, il s'en tape, tant qu'il a du
réseau. Par contre, dernier détail, pour profiter pleinement de Mac OS X
Server 10.3 et de sa gestion Open Directory, avoir un DNS bien configuré
avec une entrée pour ce Mac OS X Server (forward et reverse), très
important pour avoir Kerberos.

Le réseau est actif depuis longtemps maintenant, et mes mots de passe
Open Directory ne marchent pas.
Je n'ai plus de compte avec un mot de passe Open Directory.

Ben... va falloir réinstaller ou se passer d'Open Directory, ou
reconfigurer ce dernier, mais tu perdras les utilisateurs et groupes
créés dans la base LDAP. Si tu les exportes, tu perdras les mots de
passe.

Bonne lecture, les guides OS X Serveur représentent environ 1600 pages,
il serait temps d'en lire quelques-unes, Mac OS X Server, surtout en
configuration OpenDirectory, n'est pas un ASIP...

J'ai pas lu les 1600 pages , mais un certain nombre,

Tss ;-)
T'inquiète, je n'ai pas non plus lu les 16OO pages.

"Open_Directory.pdf" renvoi sur "User_Management_Admin.pdf" et
inversement.
Bon, je vais me faire un WE de lecture entre les lignes...

Bon courage.

Si j'osais une dernière question : mon serveur est "autonome" pour les
services Windows au sein d'un réseau W2000, AD.
Pour Open Directory, je suis aussi "autonome", dois-je le commuter en
"Maître" ?

Si tu n'as pas besoin de stocker les dossires départ de tes utilisateurs
sur le serveur, ni de restreindre leurs droits d'utilisation, aucun
intérêt, mais tu as quand même perdu ton serveur de mot de passe ce qui
est moyen. Perso, je sauvegarderais tout ce qui est à sauvegarder (y
compris les configs des services activés) et je réinstallerais au
propre.

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Laurent Pertois <laurent.pertois@alussinan.org> wrote:

Ben, vu ce que tu dis, tu pourrais presque réinstaller :(
Bon courage.

Juste pour un serveur de mots de passe ?
Super !
Merci quand même, ton explication me convient.
J'ai eu un petit espoir en essayant NeST -hospasswordserver, mais que
neni.
Je réinstalle tout.

Patrick ESNAULT <patrick.noXmail.esnault@cfd.noXmail.fr> wrote:

Laurent Pertois <laurent.pertois@alussinan.org> wrote:

Ben, vu ce que tu dis, tu pourrais presque réinstaller :(
Bon courage.

Juste pour un serveur de mots de passe ?

C'est quand même un élément fondamental de l'OS.

Super !

Ben, vire les fichiers essentiels de n'importe quel OS et regarde ce que
tu dois faire...

Merci quand même, ton explication me convient.

My pleasure (et un petit peu de déformation professionnelle, mais
bon...)

J'ai eu un petit espoir en essayant NeST -hospasswordserver, mais que
neni.

Ahahahah... oui, moi aussi j'ai fondé beaucoup d'espoirs dans cette
commande, un jour...

Je réinstalle tout.

Ca va mieux la seconde fois ;-)

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Laurent Pertois <laurent.pertois@alussinan.org> wrote:

Je réinstalle tout.

Ca va mieux la seconde fois ;-)

Tout baigne après réinstallation (2 heures tout mouillé).

Patrick ESNAULT <patrick.noXmail.esnault@cfd.noXmail.fr> wrote:

Tout baigne après réinstallation (2 heures tout mouillé).

Sauvegarde des fichiers de config ou reparamétrage complet ?

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Laurent Pertois <laurent.pertois@alussinan.org> wrote:

Patrick ESNAULT <patrick.noXmail.esnault@cfd.noXmail.fr> wrote:

Tout baigne après réinstallation (2 heures tout mouillé).

Sauvegarde des fichiers de config ou reparamétrage complet ?
Non, reparamétrage complet, c'est pas si long.

Mon serveur n'a pas encore d'utilisateurs (ils sont sous W2000), juste
un service de mail, qq dizaines de Go de fichiers en simple serveur de
fichier et un serveur Web intranet. Le plus long, c'était les copies de
sauvegarde des fichiers.

Par contre, je viens d'activer AD sur l'Xserve et tous les utilisateurs
viennent d'apparaitre dans le gestioinnaire : magique.

Mais j'ai l'impression qu'on ne peut s'en servir pour réguler les droits
d'accès aux fichiers (propriétaire, R/W, etc.)