Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:Au passage, (mais ça je m'en fiche un peu) sur les 2 léopards que j'ai
pu voir les periodic n'ont jamais été fait.
Avez-vous aussi constaté ce problème ?
Non, ils se lancent parfaitement bien ici, que ce soit le quotidien,
l'hebdomadaire ou le mensuel (vérifié à l'instant dans la console).
Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:
Au passage, (mais ça je m'en fiche un peu) sur les 2 léopards que j'ai
pu voir les periodic n'ont jamais été fait.
Avez-vous aussi constaté ce problème ?
Non, ils se lancent parfaitement bien ici, que ce soit le quotidien,
l'hebdomadaire ou le mensuel (vérifié à l'instant dans la console).
Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:Au passage, (mais ça je m'en fiche un peu) sur les 2 léopards que j'ai
pu voir les periodic n'ont jamais été fait.
Avez-vous aussi constaté ce problème ?
Non, ils se lancent parfaitement bien ici, que ce soit le quotidien,
l'hebdomadaire ou le mensuel (vérifié à l'instant dans la console).
Laurent Pertois wrote:Mauvais système, changer de système cher Nicolas :
ProductVersion: 10.5.2
Dans notre inventaire, il n'y a que 226 mac.
A combien estimes-tu le cout d'une update léopard généralisée ?
Et qu'y gagnerait-on ?
Mais dis-moi, quand tu fais une liaison AD avec Kerberisation de services
sur un Linux, ne dois-tu pas configurer plusieurs choses ?
Habituellement j'utilise cette doc :
<http://doc.ubuntu-fr.org/tutoriel/comment_ajouter_machine_ubuntu_dans_d
omaine_active_directory>
C'est clair, on le fait pas à pas et s'il y a un problème on peut
l'isoler facilement parce qu'il y a un test à chaque étape.
A chaque étape on peut creuser au besoins avec les man pages ou autre
Comparativement, avec Apple, ça marche ou ça marche pas.
C'est plus simple, mais est-ce mieux ?
Et quand on te sort qu'il faut balancer un
killall -USR1 DirectoryService
Puis te fritter un log imbitable pour retrouver le problème, merci.
On passe d'un coup du meilleur au pire, sans passer par la case départ.
Je te fais grâce du disque. Pour le reste, tant mieux pour toi. J'ai ici
un serveur AFP, et même d'autres en clientèle, qui tournent comme des
horloges :->
Ce sont des "Mac OS X server" ou juste du client ?
Voilà, il fait peu de choses, tes Mac OS X en font presque plus si on va
par là.
Ce qui m'intéresse, c'est que ça fasse ce dont j'ai besoins.
Et je choisis l'outil en fonction.
Et à la fin du net join, tes autres services (netatalk, ssh, etc) sont
kerbérisés ?
J'attends qu'on me le demande, mais ça ne me fait pas peur.
Et là, Mac OS X arrive, il te permet en quelques clics de faire pareil,
éventuellement complété si c'est un client d'un peu de commandes, et tu
trouves le moyen de me dire que c'est mieux ailleurs vu qu'on peut, une
fois qu'on en a sué sang et eau, faire un truc qui devrait fonctionner
mais on n'en parle pas vu que, non, ça n'a rien à voir.
Suer ne me dérange pas si le résulat est stable pour les 3 à 5 ans à
venir.
Sauf que je te rappelle que Mac OS X gère différentes sources pour
l'authentification, si on ne les mappe pas, l'utilisateur ne va pas
comprendre pourquoi le compte truc ne fonctionne pas.
Quel système ne gère-t-il pas différentes sources d'authentification ?
Pourtant, si je lis bien le man de smb.conf(5)
The smb.conf file is designed to be configured and administered by the
swat(8) program.
Bon, ok pour swat. Merci.
Encore de la lecture ... :)
Ah ? ils n'ajoutent donc jamais rien. Flûte, c'est figé ?
On doit pouvoir installer samba 2 sur un linux récent, mais j'ai pas eu
à le faire.
Par contre avec le NFS, ça j'ai déjà eu à adapter un serveur linux à Mac
OS X, qui a eu pendant longtemps une vielle version, sans possibilité
"simple" d'update. (on a vu il me semble des problèmes similaires avec
samba ou apache, non ?)
Donc non, c'est pas Linux qui est figé, ce serait plutôt Mac OS X.
Et quand ça change, c'est pas parce que tu l'as décidé, c'est que Apple
l'a décidé et hop, c'est comme ça, il faut t'adapter, pas le choix.
Mais bien sûr, Samba ne pose jamais de soucis lui-même quand tu mets à
jour. Mises à jour qui, d'ailleurs, ne servent en fait à rien vu qu'ils
n'ajoutent rien et ne corrigent rien.
Jamais rien ne m'est arrivé de ce genre sur nos quelques machines linux.
Par contre, les dépendances foireuses, ... bon, chaque system a ses
aventages et ses inconveignants, c'est bien clair.
Des bugs, il y en a, oui, j'en ai même quelques-uns référencés. Mais tu
ne me feras jamais croire qu'il n'y en a pas ailleurs. Je ne vais pas
aller sur des forums Samba/Linux pour faire une liste quand même ?
Non, c'est bon, quand je veux critiquer linux je vais sur un forum
linux, c'est plus marrant. :)
(parce que j'aime bien aussi critiquer linux. Il n'y a guère que windows
que je ne critique pas. Il n'en vaut pas la peine.)
C'est fou ce que c'est compliqué comme champs...
$ dscl . -read /Users/laurent AuthenticationAuthority
AuthenticationAuthority: ;ShadowHash;HASHLIST:<SALTED-SHA1>
;Kerberosv5;;:SHA1.0AB026894D59AD7EF76A329BB6264CEF12E72F14;
LKDC:SHA1.0AB026894D59AD7EF76A329BB6264CEF12E72F14;
Alors, reprenons dans l'ordre, j'ai un mot de passe de type Shadow, donc
sur Mac OS X rangé dans /var/db/shadow/hash, il intègre uniquement
(c'est plus sûr) une hash de type SSHA1 et en plus, depuis la 10.5 j'ai
aussi une entrée dans le LKDC.
Pfiouuuu, c'est hardcore, tu as raison.
Bon, merci pour l'explication.
Ce qui m'inquiète, c'est ce que ça va amener comme problème ou solutions
Pour l'instant j'ai d'autres chats à fouetter mais d'ici quelques moi
j'espère avoir le temps de prendre ça en main pour ré-implémenter une
intégration LADP, AD + OD avec sso, délocalisation, mcx et tout le
toutim. On verra à ce moment là si c'est un plus ou une encouble.
Je ne te suis pas du tout. Tu préfères quoi ? devoir créer des entrées
utilisateur dans chaque service pour chaque compte ?
Si je prends notre serveur AD, je ne retrouve pas ce type d'info dans
les comptes utilisateurs. Comment font-ils ?
Bref, innutile de discuter des choix technique de Apple, C'est comme ça.
Là, je te rappelle que l'on parle de Mac OS X qui n'a pas vocation à se
substituer à un serveur avec un Open Directory configuré en mode Maître
qui va lui utiliser Kerberos et un Serveur de Mot de Passe pour
centraliser et répliquer ces informations.
C'est le point de vue de Apple. Sauf que les entreprises ou les uni que
je connais ont de l'AD ou du ldap, pas du OD, Et c'était en place avant
que l'OD ne débarque.
Apple, d'un côté, voudrait promouvoir le mac en milieu pro mais de
l'autre, j'ai la vague impression qu'ils font un forcing sur l'OD.
Bon, il y a un truc pas propre au moins, on ajoute dans les groupes avec
dseditgroup(8).
pas compatiblle 10.3
Mais merci, je ne connaissait pas.
Pff, encore de la lecture :)
Ben, elle donne quoi ?
Mon vieux script a passé comme une lettre à la poste.
Mais je ne crois pas qu'il y avait du léopard dans le lot.
Bonsanmésébiensur. Je peux ne pas installer certains éléments de base
sur les autres OS et ils fonctionnent...
Cela dépends de ce que tu appelles "de base" et ce que tu entends par
"ils fonctionnent". Tu as dit bien aimer gentoo, regarde ce que
comprends l'install de base :)
Pas toujours en entreprise.
Ils ont pris ce qu'on leur a permis d'acheter d'une part et ce que
l'utilisateur très influent a voulu.
Non, il n'a pas toujours le choix, il y a des cas où il doit se taire
quel que soit le choix fait.
ça n'est pas un problème d'informatique au sens strict,
c'est des problèmes internes à l'entreprise, de pouvoir et autre.
Ici on va bientôt supporter et installer Vista, mais jusqu'à présent à
part sur des machines de test on en avait pas.
Ce qui est normal, on installe pas un windows avant le sp1.
Laurent Pertois <laurent.pertois@alussinan.org> wrote:
Mauvais système, changer de système cher Nicolas :
ProductVersion: 10.5.2
Dans notre inventaire, il n'y a que 226 mac.
A combien estimes-tu le cout d'une update léopard généralisée ?
Et qu'y gagnerait-on ?
Mais dis-moi, quand tu fais une liaison AD avec Kerberisation de services
sur un Linux, ne dois-tu pas configurer plusieurs choses ?
Habituellement j'utilise cette doc :
<http://doc.ubuntu-fr.org/tutoriel/comment_ajouter_machine_ubuntu_dans_d
omaine_active_directory>
C'est clair, on le fait pas à pas et s'il y a un problème on peut
l'isoler facilement parce qu'il y a un test à chaque étape.
A chaque étape on peut creuser au besoins avec les man pages ou autre
Comparativement, avec Apple, ça marche ou ça marche pas.
C'est plus simple, mais est-ce mieux ?
Et quand on te sort qu'il faut balancer un
killall -USR1 DirectoryService
Puis te fritter un log imbitable pour retrouver le problème, merci.
On passe d'un coup du meilleur au pire, sans passer par la case départ.
Je te fais grâce du disque. Pour le reste, tant mieux pour toi. J'ai ici
un serveur AFP, et même d'autres en clientèle, qui tournent comme des
horloges :->
Ce sont des "Mac OS X server" ou juste du client ?
Voilà, il fait peu de choses, tes Mac OS X en font presque plus si on va
par là.
Ce qui m'intéresse, c'est que ça fasse ce dont j'ai besoins.
Et je choisis l'outil en fonction.
Et à la fin du net join, tes autres services (netatalk, ssh, etc) sont
kerbérisés ?
J'attends qu'on me le demande, mais ça ne me fait pas peur.
Et là, Mac OS X arrive, il te permet en quelques clics de faire pareil,
éventuellement complété si c'est un client d'un peu de commandes, et tu
trouves le moyen de me dire que c'est mieux ailleurs vu qu'on peut, une
fois qu'on en a sué sang et eau, faire un truc qui devrait fonctionner
mais on n'en parle pas vu que, non, ça n'a rien à voir.
Suer ne me dérange pas si le résulat est stable pour les 3 à 5 ans à
venir.
Sauf que je te rappelle que Mac OS X gère différentes sources pour
l'authentification, si on ne les mappe pas, l'utilisateur ne va pas
comprendre pourquoi le compte truc ne fonctionne pas.
Quel système ne gère-t-il pas différentes sources d'authentification ?
Pourtant, si je lis bien le man de smb.conf(5)
The smb.conf file is designed to be configured and administered by the
swat(8) program.
Bon, ok pour swat. Merci.
Encore de la lecture ... :)
Ah ? ils n'ajoutent donc jamais rien. Flûte, c'est figé ?
On doit pouvoir installer samba 2 sur un linux récent, mais j'ai pas eu
à le faire.
Par contre avec le NFS, ça j'ai déjà eu à adapter un serveur linux à Mac
OS X, qui a eu pendant longtemps une vielle version, sans possibilité
"simple" d'update. (on a vu il me semble des problèmes similaires avec
samba ou apache, non ?)
Donc non, c'est pas Linux qui est figé, ce serait plutôt Mac OS X.
Et quand ça change, c'est pas parce que tu l'as décidé, c'est que Apple
l'a décidé et hop, c'est comme ça, il faut t'adapter, pas le choix.
Mais bien sûr, Samba ne pose jamais de soucis lui-même quand tu mets à
jour. Mises à jour qui, d'ailleurs, ne servent en fait à rien vu qu'ils
n'ajoutent rien et ne corrigent rien.
Jamais rien ne m'est arrivé de ce genre sur nos quelques machines linux.
Par contre, les dépendances foireuses, ... bon, chaque system a ses
aventages et ses inconveignants, c'est bien clair.
Des bugs, il y en a, oui, j'en ai même quelques-uns référencés. Mais tu
ne me feras jamais croire qu'il n'y en a pas ailleurs. Je ne vais pas
aller sur des forums Samba/Linux pour faire une liste quand même ?
Non, c'est bon, quand je veux critiquer linux je vais sur un forum
linux, c'est plus marrant. :)
(parce que j'aime bien aussi critiquer linux. Il n'y a guère que windows
que je ne critique pas. Il n'en vaut pas la peine.)
C'est fou ce que c'est compliqué comme champs...
$ dscl . -read /Users/laurent AuthenticationAuthority
AuthenticationAuthority: ;ShadowHash;HASHLIST:<SALTED-SHA1>
;Kerberosv5;;laurent@LKDC:SHA1.0AB026894D59AD7EF76A329BB6264CEF12E72F14;
LKDC:SHA1.0AB026894D59AD7EF76A329BB6264CEF12E72F14;
Alors, reprenons dans l'ordre, j'ai un mot de passe de type Shadow, donc
sur Mac OS X rangé dans /var/db/shadow/hash, il intègre uniquement
(c'est plus sûr) une hash de type SSHA1 et en plus, depuis la 10.5 j'ai
aussi une entrée dans le LKDC.
Pfiouuuu, c'est hardcore, tu as raison.
Bon, merci pour l'explication.
Ce qui m'inquiète, c'est ce que ça va amener comme problème ou solutions
Pour l'instant j'ai d'autres chats à fouetter mais d'ici quelques moi
j'espère avoir le temps de prendre ça en main pour ré-implémenter une
intégration LADP, AD + OD avec sso, délocalisation, mcx et tout le
toutim. On verra à ce moment là si c'est un plus ou une encouble.
Je ne te suis pas du tout. Tu préfères quoi ? devoir créer des entrées
utilisateur dans chaque service pour chaque compte ?
Si je prends notre serveur AD, je ne retrouve pas ce type d'info dans
les comptes utilisateurs. Comment font-ils ?
Bref, innutile de discuter des choix technique de Apple, C'est comme ça.
Là, je te rappelle que l'on parle de Mac OS X qui n'a pas vocation à se
substituer à un serveur avec un Open Directory configuré en mode Maître
qui va lui utiliser Kerberos et un Serveur de Mot de Passe pour
centraliser et répliquer ces informations.
C'est le point de vue de Apple. Sauf que les entreprises ou les uni que
je connais ont de l'AD ou du ldap, pas du OD, Et c'était en place avant
que l'OD ne débarque.
Apple, d'un côté, voudrait promouvoir le mac en milieu pro mais de
l'autre, j'ai la vague impression qu'ils font un forcing sur l'OD.
Bon, il y a un truc pas propre au moins, on ajoute dans les groupes avec
dseditgroup(8).
pas compatiblle 10.3
Mais merci, je ne connaissait pas.
Pff, encore de la lecture :)
Ben, elle donne quoi ?
Mon vieux script a passé comme une lettre à la poste.
Mais je ne crois pas qu'il y avait du léopard dans le lot.
Bonsanmésébiensur. Je peux ne pas installer certains éléments de base
sur les autres OS et ils fonctionnent...
Cela dépends de ce que tu appelles "de base" et ce que tu entends par
"ils fonctionnent". Tu as dit bien aimer gentoo, regarde ce que
comprends l'install de base :)
Pas toujours en entreprise.
Ils ont pris ce qu'on leur a permis d'acheter d'une part et ce que
l'utilisateur très influent a voulu.
Non, il n'a pas toujours le choix, il y a des cas où il doit se taire
quel que soit le choix fait.
ça n'est pas un problème d'informatique au sens strict,
c'est des problèmes internes à l'entreprise, de pouvoir et autre.
Ici on va bientôt supporter et installer Vista, mais jusqu'à présent à
part sur des machines de test on en avait pas.
Ce qui est normal, on installe pas un windows avant le sp1.
Laurent Pertois wrote:Mauvais système, changer de système cher Nicolas :
ProductVersion: 10.5.2
Dans notre inventaire, il n'y a que 226 mac.
A combien estimes-tu le cout d'une update léopard généralisée ?
Et qu'y gagnerait-on ?
Mais dis-moi, quand tu fais une liaison AD avec Kerberisation de services
sur un Linux, ne dois-tu pas configurer plusieurs choses ?
Habituellement j'utilise cette doc :
<http://doc.ubuntu-fr.org/tutoriel/comment_ajouter_machine_ubuntu_dans_d
omaine_active_directory>
C'est clair, on le fait pas à pas et s'il y a un problème on peut
l'isoler facilement parce qu'il y a un test à chaque étape.
A chaque étape on peut creuser au besoins avec les man pages ou autre
Comparativement, avec Apple, ça marche ou ça marche pas.
C'est plus simple, mais est-ce mieux ?
Et quand on te sort qu'il faut balancer un
killall -USR1 DirectoryService
Puis te fritter un log imbitable pour retrouver le problème, merci.
On passe d'un coup du meilleur au pire, sans passer par la case départ.
Je te fais grâce du disque. Pour le reste, tant mieux pour toi. J'ai ici
un serveur AFP, et même d'autres en clientèle, qui tournent comme des
horloges :->
Ce sont des "Mac OS X server" ou juste du client ?
Voilà, il fait peu de choses, tes Mac OS X en font presque plus si on va
par là.
Ce qui m'intéresse, c'est que ça fasse ce dont j'ai besoins.
Et je choisis l'outil en fonction.
Et à la fin du net join, tes autres services (netatalk, ssh, etc) sont
kerbérisés ?
J'attends qu'on me le demande, mais ça ne me fait pas peur.
Et là, Mac OS X arrive, il te permet en quelques clics de faire pareil,
éventuellement complété si c'est un client d'un peu de commandes, et tu
trouves le moyen de me dire que c'est mieux ailleurs vu qu'on peut, une
fois qu'on en a sué sang et eau, faire un truc qui devrait fonctionner
mais on n'en parle pas vu que, non, ça n'a rien à voir.
Suer ne me dérange pas si le résulat est stable pour les 3 à 5 ans à
venir.
Sauf que je te rappelle que Mac OS X gère différentes sources pour
l'authentification, si on ne les mappe pas, l'utilisateur ne va pas
comprendre pourquoi le compte truc ne fonctionne pas.
Quel système ne gère-t-il pas différentes sources d'authentification ?
Pourtant, si je lis bien le man de smb.conf(5)
The smb.conf file is designed to be configured and administered by the
swat(8) program.
Bon, ok pour swat. Merci.
Encore de la lecture ... :)
Ah ? ils n'ajoutent donc jamais rien. Flûte, c'est figé ?
On doit pouvoir installer samba 2 sur un linux récent, mais j'ai pas eu
à le faire.
Par contre avec le NFS, ça j'ai déjà eu à adapter un serveur linux à Mac
OS X, qui a eu pendant longtemps une vielle version, sans possibilité
"simple" d'update. (on a vu il me semble des problèmes similaires avec
samba ou apache, non ?)
Donc non, c'est pas Linux qui est figé, ce serait plutôt Mac OS X.
Et quand ça change, c'est pas parce que tu l'as décidé, c'est que Apple
l'a décidé et hop, c'est comme ça, il faut t'adapter, pas le choix.
Mais bien sûr, Samba ne pose jamais de soucis lui-même quand tu mets à
jour. Mises à jour qui, d'ailleurs, ne servent en fait à rien vu qu'ils
n'ajoutent rien et ne corrigent rien.
Jamais rien ne m'est arrivé de ce genre sur nos quelques machines linux.
Par contre, les dépendances foireuses, ... bon, chaque system a ses
aventages et ses inconveignants, c'est bien clair.
Des bugs, il y en a, oui, j'en ai même quelques-uns référencés. Mais tu
ne me feras jamais croire qu'il n'y en a pas ailleurs. Je ne vais pas
aller sur des forums Samba/Linux pour faire une liste quand même ?
Non, c'est bon, quand je veux critiquer linux je vais sur un forum
linux, c'est plus marrant. :)
(parce que j'aime bien aussi critiquer linux. Il n'y a guère que windows
que je ne critique pas. Il n'en vaut pas la peine.)
C'est fou ce que c'est compliqué comme champs...
$ dscl . -read /Users/laurent AuthenticationAuthority
AuthenticationAuthority: ;ShadowHash;HASHLIST:<SALTED-SHA1>
;Kerberosv5;;:SHA1.0AB026894D59AD7EF76A329BB6264CEF12E72F14;
LKDC:SHA1.0AB026894D59AD7EF76A329BB6264CEF12E72F14;
Alors, reprenons dans l'ordre, j'ai un mot de passe de type Shadow, donc
sur Mac OS X rangé dans /var/db/shadow/hash, il intègre uniquement
(c'est plus sûr) une hash de type SSHA1 et en plus, depuis la 10.5 j'ai
aussi une entrée dans le LKDC.
Pfiouuuu, c'est hardcore, tu as raison.
Bon, merci pour l'explication.
Ce qui m'inquiète, c'est ce que ça va amener comme problème ou solutions
Pour l'instant j'ai d'autres chats à fouetter mais d'ici quelques moi
j'espère avoir le temps de prendre ça en main pour ré-implémenter une
intégration LADP, AD + OD avec sso, délocalisation, mcx et tout le
toutim. On verra à ce moment là si c'est un plus ou une encouble.
Je ne te suis pas du tout. Tu préfères quoi ? devoir créer des entrées
utilisateur dans chaque service pour chaque compte ?
Si je prends notre serveur AD, je ne retrouve pas ce type d'info dans
les comptes utilisateurs. Comment font-ils ?
Bref, innutile de discuter des choix technique de Apple, C'est comme ça.
Là, je te rappelle que l'on parle de Mac OS X qui n'a pas vocation à se
substituer à un serveur avec un Open Directory configuré en mode Maître
qui va lui utiliser Kerberos et un Serveur de Mot de Passe pour
centraliser et répliquer ces informations.
C'est le point de vue de Apple. Sauf que les entreprises ou les uni que
je connais ont de l'AD ou du ldap, pas du OD, Et c'était en place avant
que l'OD ne débarque.
Apple, d'un côté, voudrait promouvoir le mac en milieu pro mais de
l'autre, j'ai la vague impression qu'ils font un forcing sur l'OD.
Bon, il y a un truc pas propre au moins, on ajoute dans les groupes avec
dseditgroup(8).
pas compatiblle 10.3
Mais merci, je ne connaissait pas.
Pff, encore de la lecture :)
Ben, elle donne quoi ?
Mon vieux script a passé comme une lettre à la poste.
Mais je ne crois pas qu'il y avait du léopard dans le lot.
Bonsanmésébiensur. Je peux ne pas installer certains éléments de base
sur les autres OS et ils fonctionnent...
Cela dépends de ce que tu appelles "de base" et ce que tu entends par
"ils fonctionnent". Tu as dit bien aimer gentoo, regarde ce que
comprends l'install de base :)
Pas toujours en entreprise.
Ils ont pris ce qu'on leur a permis d'acheter d'une part et ce que
l'utilisateur très influent a voulu.
Non, il n'a pas toujours le choix, il y a des cas où il doit se taire
quel que soit le choix fait.
ça n'est pas un problème d'informatique au sens strict,
c'est des problèmes internes à l'entreprise, de pouvoir et autre.
Ici on va bientôt supporter et installer Vista, mais jusqu'à présent à
part sur des machines de test on en avait pas.
Ce qui est normal, on installe pas un windows avant le sp1.
Laurent Pertois wrote:Regarde par exemple pour un local user le champ AuthenticationAuthority.
C'est fou ce que c'est compliqué comme champs...
$ dscl . -read /Users/laurent AuthenticationAuthority
AuthenticationAuthority: ;ShadowHash;HASHLIST:<SALTED-SHA1>
;Kerberosv5;;:SHA1.0AB026894D59AD7EF76A329BB6264CEF12E72F14;
LKDC:SHA1.0AB026894D59AD7EF76A329BB6264CEF12E72F14;
Alors, reprenons dans l'ordre, j'ai un mot de passe de type Shadow, donc
sur Mac OS X rangé dans /var/db/shadow/hash, il intègre uniquement
(c'est plus sûr) une hash de type SSHA1 et en plus, depuis la 10.5 j'ai
aussi une entrée dans le LKDC.
Pfiouuuu, c'est hardcore, tu as raison.
Je viens justement d'avoir un problème d'authentification.
Un MacBook sous Léopard qui est dans notre domaine AD
L'utilisatrice est venue me trouver, elle me disait ne plus pouvoir se
loguer. Au moment où elle a ouvert son MacBook le login s'est fait.
Après quelques tests, j'en conclus ceci :
login sur le réseau : 4 secondes.
Login sur un autre réseau : 6 minutes.
Sur une autre machine, le login sur un autre réseau ne dure "que" 3
minutes. Donc c'est plus ou moins reproductible.
J'ai pas vu d'erreur significatives dans les logs.
Si je lance dscl puis que je fais un "ls", ou si j'ouvre Directory
Utility, 2 minutes à attendre si je suis pas sur le bon réseau.
Donc voilà, c'est très bien cette histoire d'authentification
multisources, mais qu'est ce qu'on fait quand ça marche pas ?
Est-ce qu'on peut y changer quelque chose ?
Où trouver de la doc à ce sujet ?
J'ai tenté de mettre un timeout du kerberos à 10 secondes,
mais ça n'a rien changé.
Au passage, (mais ça je m'en fiche un peu) sur les 2 léopards que j'ai
pu voir les periodic n'ont jamais été fait.
Avez-vous aussi constaté ce problème ?
Laurent Pertois <laurent.pertois@alussinan.org> wrote:
Regarde par exemple pour un local user le champ AuthenticationAuthority.
C'est fou ce que c'est compliqué comme champs...
$ dscl . -read /Users/laurent AuthenticationAuthority
AuthenticationAuthority: ;ShadowHash;HASHLIST:<SALTED-SHA1>
;Kerberosv5;;laurent@LKDC:SHA1.0AB026894D59AD7EF76A329BB6264CEF12E72F14;
LKDC:SHA1.0AB026894D59AD7EF76A329BB6264CEF12E72F14;
Alors, reprenons dans l'ordre, j'ai un mot de passe de type Shadow, donc
sur Mac OS X rangé dans /var/db/shadow/hash, il intègre uniquement
(c'est plus sûr) une hash de type SSHA1 et en plus, depuis la 10.5 j'ai
aussi une entrée dans le LKDC.
Pfiouuuu, c'est hardcore, tu as raison.
Je viens justement d'avoir un problème d'authentification.
Un MacBook sous Léopard qui est dans notre domaine AD
L'utilisatrice est venue me trouver, elle me disait ne plus pouvoir se
loguer. Au moment où elle a ouvert son MacBook le login s'est fait.
Après quelques tests, j'en conclus ceci :
login sur le réseau : 4 secondes.
Login sur un autre réseau : 6 minutes.
Sur une autre machine, le login sur un autre réseau ne dure "que" 3
minutes. Donc c'est plus ou moins reproductible.
J'ai pas vu d'erreur significatives dans les logs.
Si je lance dscl puis que je fais un "ls", ou si j'ouvre Directory
Utility, 2 minutes à attendre si je suis pas sur le bon réseau.
Donc voilà, c'est très bien cette histoire d'authentification
multisources, mais qu'est ce qu'on fait quand ça marche pas ?
Est-ce qu'on peut y changer quelque chose ?
Où trouver de la doc à ce sujet ?
J'ai tenté de mettre un timeout du kerberos à 10 secondes,
mais ça n'a rien changé.
Au passage, (mais ça je m'en fiche un peu) sur les 2 léopards que j'ai
pu voir les periodic n'ont jamais été fait.
Avez-vous aussi constaté ce problème ?
Laurent Pertois wrote:Regarde par exemple pour un local user le champ AuthenticationAuthority.
C'est fou ce que c'est compliqué comme champs...
$ dscl . -read /Users/laurent AuthenticationAuthority
AuthenticationAuthority: ;ShadowHash;HASHLIST:<SALTED-SHA1>
;Kerberosv5;;:SHA1.0AB026894D59AD7EF76A329BB6264CEF12E72F14;
LKDC:SHA1.0AB026894D59AD7EF76A329BB6264CEF12E72F14;
Alors, reprenons dans l'ordre, j'ai un mot de passe de type Shadow, donc
sur Mac OS X rangé dans /var/db/shadow/hash, il intègre uniquement
(c'est plus sûr) une hash de type SSHA1 et en plus, depuis la 10.5 j'ai
aussi une entrée dans le LKDC.
Pfiouuuu, c'est hardcore, tu as raison.
Je viens justement d'avoir un problème d'authentification.
Un MacBook sous Léopard qui est dans notre domaine AD
L'utilisatrice est venue me trouver, elle me disait ne plus pouvoir se
loguer. Au moment où elle a ouvert son MacBook le login s'est fait.
Après quelques tests, j'en conclus ceci :
login sur le réseau : 4 secondes.
Login sur un autre réseau : 6 minutes.
Sur une autre machine, le login sur un autre réseau ne dure "que" 3
minutes. Donc c'est plus ou moins reproductible.
J'ai pas vu d'erreur significatives dans les logs.
Si je lance dscl puis que je fais un "ls", ou si j'ouvre Directory
Utility, 2 minutes à attendre si je suis pas sur le bon réseau.
Donc voilà, c'est très bien cette histoire d'authentification
multisources, mais qu'est ce qu'on fait quand ça marche pas ?
Est-ce qu'on peut y changer quelque chose ?
Où trouver de la doc à ce sujet ?
J'ai tenté de mettre un timeout du kerberos à 10 secondes,
mais ça n'a rien changé.
Au passage, (mais ça je m'en fiche un peu) sur les 2 léopards que j'ai
pu voir les periodic n'ont jamais été fait.
Avez-vous aussi constaté ce problème ?
Je viens justement d'avoir un problème d'authentification.
Un MacBook sous Léopard qui est dans notre domaine AD
Oui... Mais ça, ça n'a pas grand chose à voir avec ce que je montre,
mais bon...
Ca, ça pue le soucis DNS à plein nez et vu comment les AD nécessitent un
DNS...
Juste un énorme timeout, quoi, génant.
Ben voilà, tu n'es pas sur le bon réseau.
Je viens justement d'avoir un problème d'authentification.
Un MacBook sous Léopard qui est dans notre domaine AD
Oui... Mais ça, ça n'a pas grand chose à voir avec ce que je montre,
mais bon...
Ca, ça pue le soucis DNS à plein nez et vu comment les AD nécessitent un
DNS...
Juste un énorme timeout, quoi, génant.
Ben voilà, tu n'es pas sur le bon réseau.
Je viens justement d'avoir un problème d'authentification.
Un MacBook sous Léopard qui est dans notre domaine AD
Oui... Mais ça, ça n'a pas grand chose à voir avec ce que je montre,
mais bon...
Ca, ça pue le soucis DNS à plein nez et vu comment les AD nécessitent un
DNS...
Juste un énorme timeout, quoi, génant.
Ben voilà, tu n'es pas sur le bon réseau.
Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:Dans notre inventaire, il n'y a que 226 mac.
A combien estimes-tu le cout d'une update léopard généralisée ?
Et qu'y gagnerait-on ?
PlistBuddy ?
Mauvais système, changer de système cher Nicolas :
ProductVersion: 10.5.2
Et quand le soucis se présente bien après, on recommence pas à pas ?
Si tu as bien observé le plugin AD lors de sa connexion, tu as du voir
qu'il fait défiler différentes étapes. Et quand il détecte une erreur
lors d'une étape il te dit ce qui ne lui a pas plu, par exemple une
erreur d'horloge ou de DNS.
Et quand on te sort qu'il faut balancer un
killall -USR1 DirectoryService
Puis te fritter un log imbitable pour retrouver le problème, merci.
On passe d'un coup du meilleur au pire, sans passer par la case départ.
Décidément, à nouveau quand il n'y a pas, tu n'aimes pas, quand il y a
trop, tu n'aimes pas...
Je te fais grâce du disque. Pour le reste, tant mieux pour toi. J'ai ici
un serveur AFP, et même d'autres en clientèle, qui tournent comme des
horloges :->
Ce sont des "Mac OS X server" ou juste du client ?
Vu que je parle de serveur et que tu connais mon sentiment sur
l'utilisation d'un client pour faire serveur, je me demande pourquoi tu
demandes ;-)
Et à la fin du net join, tes autres services (netatalk, ssh, etc) sont
kerbérisés ?
J'attends qu'on me le demande, mais ça ne me fait pas peur.
Donc j'en déduis que ce n'est pas fait ?
Tu as déjà essayé ?
Suer ne me dérange pas si le résulat est stable pour les 3 à 5 ans à
venir.
Tu as de beaux espoirs informatiques, c'est beau :-)
Il me semble avoir déjà vu passer une version installable de NFS sur la
liste Mac OS X Server d'Apple...
Flûte tu m'enlèves un argument... Et ça se passe comment alors les
dépendances ? genre "ah ben quand je mets ça à jour il y a ça qui foire
donc je dois le mettre à jour aussi et puis ça dans la foulée et ainsi
de suite..."...
Pour l'instant j'ai d'autres chats à fouetter mais d'ici quelques moi
j'espère avoir le temps de prendre ça en main pour ré-implémenter une
intégration LADP, AD + OD avec sso, délocalisation, mcx et tout le
toutim. On verra à ce moment là si c'est un plus ou une encouble.
Ca, ça part d'une bonne idée, en tous cas. J'en connais qui sont déjà
installées, enfin, en 10.4.
Euh, si je prends une sortie d'un AD, forcément il n'y a comme infos que
ce qui est nécessaire à Windows
Apple, d'un côté, voudrait promouvoir le mac en milieu pro mais de
l'autre, j'ai la vague impression qu'ils font un forcing sur l'OD.
Euh, jamais,
il est juste précisé que si tu veux gérer les MCX il va
falloir soit :
- étendre le schéma de ton AD
- passer par une solution tierce-partie, genre Centrify qui va
ajouter des éléments dans l'AD pour gérer les MCX
- utiliser en plus un OD qui va compenser les manques de l'AD
sans se substituer à ce dernier pour la gestion de l'annuaire qui
restera la seule référence.
Tiens, quand tu as un LDAP avec tout le monde et que tu souhaites gérer
les postes Windows, tu fais quoi ? ben on t'impose un AD, pas le choix
et tu ne passes plus que par lui, tu oublies ton LDAP.
pas compatiblle 10.3
Nope, nouveauté 10.4, désolé, ça a 3 ans...
Courage. Remarque, tu devrais piquer le support de cours de ton
collègue, je lui en ai parlé ;-)
Cela dépends de ce que tu appelles "de base" et ce que tu entends par
"ils fonctionnent". Tu as dit bien aimer gentoo, regarde ce que
comprends l'install de base :)
Ben, avec une install Gentoo de base je ne fais rien.
Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:
Dans notre inventaire, il n'y a que 226 mac.
A combien estimes-tu le cout d'une update léopard généralisée ?
Et qu'y gagnerait-on ?
PlistBuddy ?
Mauvais système, changer de système cher Nicolas :
ProductVersion: 10.5.2
Et quand le soucis se présente bien après, on recommence pas à pas ?
Si tu as bien observé le plugin AD lors de sa connexion, tu as du voir
qu'il fait défiler différentes étapes. Et quand il détecte une erreur
lors d'une étape il te dit ce qui ne lui a pas plu, par exemple une
erreur d'horloge ou de DNS.
Et quand on te sort qu'il faut balancer un
killall -USR1 DirectoryService
Puis te fritter un log imbitable pour retrouver le problème, merci.
On passe d'un coup du meilleur au pire, sans passer par la case départ.
Décidément, à nouveau quand il n'y a pas, tu n'aimes pas, quand il y a
trop, tu n'aimes pas...
Je te fais grâce du disque. Pour le reste, tant mieux pour toi. J'ai ici
un serveur AFP, et même d'autres en clientèle, qui tournent comme des
horloges :->
Ce sont des "Mac OS X server" ou juste du client ?
Vu que je parle de serveur et que tu connais mon sentiment sur
l'utilisation d'un client pour faire serveur, je me demande pourquoi tu
demandes ;-)
Et à la fin du net join, tes autres services (netatalk, ssh, etc) sont
kerbérisés ?
J'attends qu'on me le demande, mais ça ne me fait pas peur.
Donc j'en déduis que ce n'est pas fait ?
Tu as déjà essayé ?
Suer ne me dérange pas si le résulat est stable pour les 3 à 5 ans à
venir.
Tu as de beaux espoirs informatiques, c'est beau :-)
Il me semble avoir déjà vu passer une version installable de NFS sur la
liste Mac OS X Server d'Apple...
Flûte tu m'enlèves un argument... Et ça se passe comment alors les
dépendances ? genre "ah ben quand je mets ça à jour il y a ça qui foire
donc je dois le mettre à jour aussi et puis ça dans la foulée et ainsi
de suite..."...
Pour l'instant j'ai d'autres chats à fouetter mais d'ici quelques moi
j'espère avoir le temps de prendre ça en main pour ré-implémenter une
intégration LADP, AD + OD avec sso, délocalisation, mcx et tout le
toutim. On verra à ce moment là si c'est un plus ou une encouble.
Ca, ça part d'une bonne idée, en tous cas. J'en connais qui sont déjà
installées, enfin, en 10.4.
Euh, si je prends une sortie d'un AD, forcément il n'y a comme infos que
ce qui est nécessaire à Windows
Apple, d'un côté, voudrait promouvoir le mac en milieu pro mais de
l'autre, j'ai la vague impression qu'ils font un forcing sur l'OD.
Euh, jamais,
il est juste précisé que si tu veux gérer les MCX il va
falloir soit :
- étendre le schéma de ton AD
- passer par une solution tierce-partie, genre Centrify qui va
ajouter des éléments dans l'AD pour gérer les MCX
- utiliser en plus un OD qui va compenser les manques de l'AD
sans se substituer à ce dernier pour la gestion de l'annuaire qui
restera la seule référence.
Tiens, quand tu as un LDAP avec tout le monde et que tu souhaites gérer
les postes Windows, tu fais quoi ? ben on t'impose un AD, pas le choix
et tu ne passes plus que par lui, tu oublies ton LDAP.
pas compatiblle 10.3
Nope, nouveauté 10.4, désolé, ça a 3 ans...
Courage. Remarque, tu devrais piquer le support de cours de ton
collègue, je lui en ai parlé ;-)
Cela dépends de ce que tu appelles "de base" et ce que tu entends par
"ils fonctionnent". Tu as dit bien aimer gentoo, regarde ce que
comprends l'install de base :)
Ben, avec une install Gentoo de base je ne fais rien.
Nicolas MICHEL <Nicolas-MICHEL'_remove_'@bluewin.ch> wrote:Dans notre inventaire, il n'y a que 226 mac.
A combien estimes-tu le cout d'une update léopard généralisée ?
Et qu'y gagnerait-on ?
PlistBuddy ?
Mauvais système, changer de système cher Nicolas :
ProductVersion: 10.5.2
Et quand le soucis se présente bien après, on recommence pas à pas ?
Si tu as bien observé le plugin AD lors de sa connexion, tu as du voir
qu'il fait défiler différentes étapes. Et quand il détecte une erreur
lors d'une étape il te dit ce qui ne lui a pas plu, par exemple une
erreur d'horloge ou de DNS.
Et quand on te sort qu'il faut balancer un
killall -USR1 DirectoryService
Puis te fritter un log imbitable pour retrouver le problème, merci.
On passe d'un coup du meilleur au pire, sans passer par la case départ.
Décidément, à nouveau quand il n'y a pas, tu n'aimes pas, quand il y a
trop, tu n'aimes pas...
Je te fais grâce du disque. Pour le reste, tant mieux pour toi. J'ai ici
un serveur AFP, et même d'autres en clientèle, qui tournent comme des
horloges :->
Ce sont des "Mac OS X server" ou juste du client ?
Vu que je parle de serveur et que tu connais mon sentiment sur
l'utilisation d'un client pour faire serveur, je me demande pourquoi tu
demandes ;-)
Et à la fin du net join, tes autres services (netatalk, ssh, etc) sont
kerbérisés ?
J'attends qu'on me le demande, mais ça ne me fait pas peur.
Donc j'en déduis que ce n'est pas fait ?
Tu as déjà essayé ?
Suer ne me dérange pas si le résulat est stable pour les 3 à 5 ans à
venir.
Tu as de beaux espoirs informatiques, c'est beau :-)
Il me semble avoir déjà vu passer une version installable de NFS sur la
liste Mac OS X Server d'Apple...
Flûte tu m'enlèves un argument... Et ça se passe comment alors les
dépendances ? genre "ah ben quand je mets ça à jour il y a ça qui foire
donc je dois le mettre à jour aussi et puis ça dans la foulée et ainsi
de suite..."...
Pour l'instant j'ai d'autres chats à fouetter mais d'ici quelques moi
j'espère avoir le temps de prendre ça en main pour ré-implémenter une
intégration LADP, AD + OD avec sso, délocalisation, mcx et tout le
toutim. On verra à ce moment là si c'est un plus ou une encouble.
Ca, ça part d'une bonne idée, en tous cas. J'en connais qui sont déjà
installées, enfin, en 10.4.
Euh, si je prends une sortie d'un AD, forcément il n'y a comme infos que
ce qui est nécessaire à Windows
Apple, d'un côté, voudrait promouvoir le mac en milieu pro mais de
l'autre, j'ai la vague impression qu'ils font un forcing sur l'OD.
Euh, jamais,
il est juste précisé que si tu veux gérer les MCX il va
falloir soit :
- étendre le schéma de ton AD
- passer par une solution tierce-partie, genre Centrify qui va
ajouter des éléments dans l'AD pour gérer les MCX
- utiliser en plus un OD qui va compenser les manques de l'AD
sans se substituer à ce dernier pour la gestion de l'annuaire qui
restera la seule référence.
Tiens, quand tu as un LDAP avec tout le monde et que tu souhaites gérer
les postes Windows, tu fais quoi ? ben on t'impose un AD, pas le choix
et tu ne passes plus que par lui, tu oublies ton LDAP.
pas compatiblle 10.3
Nope, nouveauté 10.4, désolé, ça a 3 ans...
Courage. Remarque, tu devrais piquer le support de cours de ton
collègue, je lui en ai parlé ;-)
Cela dépends de ce que tu appelles "de base" et ce que tu entends par
"ils fonctionnent". Tu as dit bien aimer gentoo, regarde ce que
comprends l'install de base :)
Ben, avec une install Gentoo de base je ne fais rien.
