Skocz do zawartości

Witaj!

Zaloguj lub Zarejestruj się aby uzyskać pełny dostęp do forum.

Zdjęcie
- - - - -

Sierra+Server 5.3.1 - OD password policy - reset password on next login nie działa

Rozpoczęty przez imrik , 23 sie 2017 09:33

  • Zaloguj się, aby dodać odpowiedź
Brak odpowiedzi do tego tematu

#1 imrik

imrik
  • 3 471 postów
  • SkądWrocław, Poland

Napisano 23 sierpnia 2017 - 09:33

Mam problem z serwerem open directory (szczegóły poniżej) - ustawienie password policy na "passwords must: be reset on first user login" powoduje, że nie mogę z komputera spiętego z domeną OD zalogować się na żadne nowo utworzone konto OD (konta na które wcześniej były już poprawne logowania nie są objęte tym problemem). Po podaniu prawidłowego hasła pojawia się pop up wymuszający na użytkowniku reset hasła (tak jak powinien). Jednak po wypełnieniu stosownych pól pop-up drga tak jakby nie przyjmował tych wartości.

 

Podobna rzecz objawia się gdy wyzeruję password policies (na dobrą sprawę można zostawić passwords policies bez zmian) a użytkownikowi założonemu na OD ustawię nowe hasło z opcją "require password change on next login".

 

Strona serwera do której użytkownicy mogą się logować celem zmiany hasła (https://mdm-test.local/changepassword) po podaniu danych logowania na panelu do zmiany hasła twierdzi że stare hasło jest niezgodne (nie może być niezgodne bo inaczej cały panel do resetu hasła by się nie załadował).

 

Ciekawostka - po uruchomieniu usługi udostępniania plików przez Server można połączyć się z serwerem za pomocą protokołu AFP (wprost bo teraz domyślnie jest smb) za pomocą Findera, pojawia się stosowny panel do zmiany hasła i... działa. Można się nowo ustawionym hasłem zalogować do domeny OD. Użytkownik może też samodzielnie wywołać panel do zmiany hasła z okna logowania w Finderze.

 

Oczywiście gdy użytkownik się zaloguje (na przykład gdy nie ma żadnej password policy lub gdy nowo ustawione hasło nie ma zaznaczonej opcji require password change on next login) użytkownk z powodzeniem może zmienić hasło w preferencjach systemowych bez problemu. Wszystko ładnie się odzwierciedla na OD.

 

Po researchu nie widzę na sieci dużo wzmianek w temacie - dwa wątki na forum Apple (bodażje z lutego i z kwietnia tego roku), kilka osób narzekających na to na Twitterze w ostatnim kwartale. Rzecz wydaje si ęrelatywnie nową przypadłością. Skontaktowałem się z tymi osobami ale zero odzewu.

 

Kontaktowałem się ze wsparciem Apple. Na razie wiem tyle, że "u nich działa". Starają się pomóc ale na razie jesteśmy na etapie "spróbuj na innym komputerze, spróbuj przeinstalować maszynę".

 

Strzelam, że jest to coś banalnego co zwyczajnie przeoczyłem. Opis konkretnego setupu jaki mam na chwilę obecną poniżej.

Będę wdzięczny za pomoc lub wskazanie kierunku w którym mam kopać dalej - logów, materiałów, dokumentacji, etc.

 

Cel serwera: OD + Profile Manager.

OD ma być wykorzystywany jako jeden login do komputerów, serwera plików Synology i ogólnie do bardziej zcentralizowanego kontrolowania dostępów do zasobów w firmie. W planach jest spięcie tego z RADIUS do uwierzytelniania użytkowników w sieci. Poległem jednak na samym początku na prostej rzeczy.

 

Sprzęt:

Server: Mac Pro - Sierra 10.12.6 + Server 5.3.
Client: MacBook Air - Sierra 10.1.2.6
 
Sieć:
(Próbowałem nie tylko w biurze ale też w domowej sieci, takiej typowej)
Server jest podłączony do VLAN 10.0.1.0 255.255.255.0 -> statyczny adres IP ustawiony w preferencjach systemowych
Client jest podłączony do innego VLAN 10.0.8.0 255.255.255.0 -> DHCP
 
Server nie jest połączony z internetem (może się to zmienić w przyszłości z uwagi na MDM, ale na razie wolałbym aby to tak zostało - biorąc pod uwagę jak to działa wolałbym testować i wdrażać każdą funkcjonalność krok po kroku. Oczywiście próbowałem też próbować gdy klient jest podłączony do internetu)
 
Klient ma połączenie z internetem.
 
Klient i serwer "widzą" siebie na wzajem w sieci.
 
Setup:
- Server
* Jeden użytkownik - administrator
* Nic więcej niece tykane jeśli chodzi o jakieś ustawienia czy cokolwiek, oprócz:
* Energy Saver (any server się niece usypiał)
* statyczny adres IP (system preferences -> Ethernet 2 -> configure IPv4: Manually)
 
1) Otwieram aplikację Server.
2) Ustawiam host name -> local network -> computer name: mdm-test.local ; host name: mdm-test.local ; network address jest już ustawiony w system preferences
3) Włączam Open Directory -> create new OD domain -> ustawiam hasło dla diradmin -> uzupełniam nazwę firmy i adres mail -> set up
4) Użytkownicy:
* Zmieniam all users na local network users z rozwijanej belki.
* Zmieniam password policy -> check passwords must: [] be reset on first user login
* Zamykam aplikację Server.
* Otwieram terminal I wpisuję su diradmin -> ustawiam nowe hasło dla diradmin (password policy obejmuje również użytkowników grupy admin OD)
* Otwieram appkę Server -> zmieniam all users na network users -> odblokowuję OD nowym hasłem diradmin 
* Dodaję nowego testowego użytkownika Local Network User -> Home folder: Local Only
 
- Client:
* Jeden użytkownik admin.
* Nie zmieniane żadne ustawienia.
* Połączony do sieci przez WiFi.
1) "Binduję" MacBook do domeny OD: System Preferences -> Users and Groups -> Login Options -> Network Account Server: Join -> mdm-test.local (ufam certyfikatom serwowanym przez mdm-test.local)
MacBook "binduje się" do OD prawidłowo. (weryfikuję za pomocą Directory Utility, czyta schemat bazy OD, widzi listę użytkowników serwowanych, etc)
2) Wylogowuję się z knot admina.
3) Czekam kilka chwil na login screenie aż pojawi się „Others”.
4) Loguję się na testowego użytkownika.
5) Jestem proszony o zmianę hasła -> wypełniam formularz zmiany hasła -> panel logowania drży i dalej nie idzie.
 
Co jeszcze nie działa:
- strona mdm-test.local ma sekcję pozwalającą użytkownikom zmieniać hasła. Strona podczas procesu informuje, że hasło podane jako "stare" nie zgadza się.
- Odkręcenie password policy "passwords must: [] be reset on first user login” pozwala testowemu użytkownikowi na poprawne zalogowanie się. Natomiast wolałbym wymusić na użytkownikach zmianę domyślnego hasła, przy zmianie hasła w Serverze zaznaczając opcję "require password change at next login” wraca dokładnie ten sam problem z logowaniem się.
 
Obejście.
1) protokół AFP: W aplikacji Server włączyć File Sharing. Przy próbie połączenia w Finderze z adresu afp://mdm-test.local jest prośba o login i hasło, jeśli podamy dane użytkownika testowego to zostaniemy poproszeni o zmianę hasła. Zmiana hasła następuję prawidłowo. Można wykorzystać zmienione hasło do zalogowania się w domenie OD na zbindowanym komputerze.
Dowodzi to, że "cośtam działa", ale oczywiście nie jest to optymalne z oczywistych względów.
2) Rezygnacja z password policy i wymuszania zmiany hasła po jego zmianie przez dział IT, edukowanie użytkowników że powinni sami zmieniać nadane im hasła.
Jest to rozwiązanie nieoptymalne z oczywistych względów.
 
 
Co próbowałem do tej pory i nie przyniosło pozytywnych rezultatów:
- Inne maszyny (za równo serwer jak i klient).
- Inne sieci (biuro i dom).
- Eksportowanie użytkowników i grup, niszczenie master OD, kasowanie certyfikatów z serwera, tworzenie nowego mastera OD i import użytkowników i grup.
- Szukanie w logach (przyznam, że na tym etapie nie wiem już nawet gdzie szukać czegoś co mogłoby nakierować)
- Włączenie Profile Manager na serwerze, enrolment do MDM i zbindowanie komputera do OD poprzez wypchnięcie odpowiedniego profilu. Wszystko z sukcesami, ale nadal nie da się zmienić hasła tak jakbym chciał.
 
Będę wdzięczny za wszelką pomoc.

Użytkownik imrik edytował ten post 23 sierpnia 2017 - 12:55

Wróć do Programy użytkowe


Użytkownicy przeglądający ten temat: 1

0 użytkowników, 1 gości, 0 anonimowych

  1. Forum MyApple.pl
  2. Komputery Mac - Software
  3. Programy użytkowe
  4. Polityka prywatności
  5. Regulamin forum ·