Ankündigung:

Die ersten fünf Apple Support-Videos sind auf YouTube verfügbar.
Abonniert den Apple Deutschland Channel und erhaltet hilfreiche Tipps, Tricks & Kurzanleitungen — direkt von Apple!

Frage:

Frage: El Capitan Security Update 2017-005 zerstört LDAP?

Hallo alle zusammen,

da ich nun zwei volle Tage damit verbracht habe herumzutesten, Backups einzuspielen, alle möglichen Einstellungen anzupassen und langsam wahnsinnig zu werden, wird es nun Zeit mal die Community zu befragen.

Unser Problem:

Nach dem neuesten Sicherheitsupdate vom El Capitan (eingespielt am Freitag zum Feierabend), konnten wir uns am Montag nicht mehr bei unserem iChat Server (Openfire) anmelden. Dieser holt sich die Anmeldetaten per LDAP aus der Open Directory. Dabei fiel uns auch auf das unsere NAS-Boxen, welche teilweise die Freigaben ebenfalls über LDAP regeln auch nicht mehr richtig funktionieren. Ebenfalls das Anmelden für eine VNC-Verbindung zum OS X Server war mit den Netzwerkaccounts nicht mehr möglich – vorher jahrelang schon. Nur der lokale Adminaccount vom Server gewährte den Zugriff. Radius und Dateifreigaben vom Server funktionierten aber weiterhin einwandfrei.

Ergebnis der Testorgie:

Da Neustarts, Neuinstallationen der Chatsoftware, Neuaufsetzen und Rekerberizieren der OD, etliche Spielereien im Terminal etc. nicht halfen, haben wir gestern abend das Backup vom Server von vor dem Update eingespielt.

Seitdem funktioniert iChat wieder und wir können uns auch wie zuvor per VNC mit dem Server verbinden. Die NAS Boxen melden aber den LDAP Status als "Online" an, die Benutzer- und Gruppenliste bleibt aber leer.

Der Server spuckt ständig die Meldung aus:

kdc[116]: AS-REQ diradmin@KDCSETUP from 127.0.0.1:57891 for krbtgt/KDCSETUP@KDCSETUPkdc[116]: UNKNOWN -- diradmin@KDCSETUP: no such entry found in hdb

Keine Ahnung wo das KDCSETUP herkommt, denn Kerberos nutzen wir eigentlich nicht.

DNS und die Einstellungen vom dirserv sind auch alle korrekt.

slapd.log wird zugemüllt von:

server1 slapd[354]: odusers_krb_auth: Error obtaining credentials for diradmin: -1765328378

Ich vermute durch die NASes, denn die gleiche Meldung wurde auch ständig vom Openfire/iChat-Server generiert solange es Probleme mit dem LDAP gab.

Unser Aufbau:

  • Mac Pro mit ESXi Virtualisierung (1x OS X und 2x Ubuntu Server)
  • OS X Server für File Sharing und OD
  • 1x NAS (QNAP) mit 8 Platten für Storage per iSCSI und Virtualisierungen vom DNS- und iChat-Server sowie Testumgebungen
  • 1X NAS (QNAP) mit 4 Platten für Backups und einfachere Ordnerfreigaben
  • Alles per GBit-LAN verdrahtet

Nun die großen Fragen:

Kann das Verhalten jemand bestätigen?

Könnte das mal wieder ein Bug von Apple sein?

Hat jemand eine Idee was noch helfen könnte?

Bei den aktuellen grausamen Sicherheitslücken, müssen wir ja eher früher als später die Updates einspielen.

Danke schon mal im Voraus für eure Antworten.

Mac Pro, OS X El Capitan (10.11.6)

Gepostet am

Antworten
Frage gekennzeichnet als Gelöst
Antwort:
Antwort:

Da wir keine richtige Lösung für das Problem gefunden haben und die Dokumentationen von Apple zu den OD Funktionen nur bis zum 10.6 Server in einer Form, die man als professionell betiteln kann, vorhanden sind, haben wir uns entschieden einen Active Directory Domain Controller auf Linux-Basis aufzusetzen und uns langsam von Apple als Serversystem zu verabschieden.

Die Benutzerverwaltung muss einfach zuverlässig funktionieren und anscheinend ist es Apple nicht mehr wichtig dies zu gewährleisten.

So können wir zumindest wenn sich unser Mac Pro im Serverschrank verabschiedet, diesen relativ einfach durch eine richtige Servermaschine ersetzen. Weiter so Apple, als nächtes nur noch die Client Maschinen vermiesen. Beim Anblick vom iMac Pro(fit) mit Schminkspiegel und ohne Wartungsmöglichkeiten wird dieses Ziel auch relativ schnell erreicht.

Gepostet am

Seiteninhalt wurde geladen

Frage gekennzeichnet als Gelöst

22. Jan. 2018, 17:15 als Antwort auf Berlindude Als Antwort auf Berlindude

Da wir keine richtige Lösung für das Problem gefunden haben und die Dokumentationen von Apple zu den OD Funktionen nur bis zum 10.6 Server in einer Form, die man als professionell betiteln kann, vorhanden sind, haben wir uns entschieden einen Active Directory Domain Controller auf Linux-Basis aufzusetzen und uns langsam von Apple als Serversystem zu verabschieden.

Die Benutzerverwaltung muss einfach zuverlässig funktionieren und anscheinend ist es Apple nicht mehr wichtig dies zu gewährleisten.

So können wir zumindest wenn sich unser Mac Pro im Serverschrank verabschiedet, diesen relativ einfach durch eine richtige Servermaschine ersetzen. Weiter so Apple, als nächtes nur noch die Client Maschinen vermiesen. Beim Anblick vom iMac Pro(fit) mit Schminkspiegel und ohne Wartungsmöglichkeiten wird dieses Ziel auch relativ schnell erreicht.

22. Jan. 2018, 17:15

Antworten Hilfreich

30. Jan. 2018, 09:52 als Antwort auf Berlindude Als Antwort auf Berlindude

Apple hat zufällig vor ein paar Tagem mit dieser Meldung de facto das Aus für den OS X / macOS Server vermeldet.

Wer also das Teil für mehr als nur MDM verwendet, sollte sich schleunigst nach Alternativen umsehen. Gute Hinweise dazu finden sich in den Kommentaren der Meldung hier.

30. Jan. 2018, 09:52

Antworten Hilfreich
Benutzerprofil für Benutzer: Berlindude

Frage: El Capitan Security Update 2017-005 zerstört LDAP?