El Capitan Security Update 2017-005 zerstört LDAP?
Hallo alle zusammen,
da ich nun zwei volle Tage damit verbracht habe herumzutesten, Backups einzuspielen, alle möglichen Einstellungen anzupassen und langsam wahnsinnig zu werden, wird es nun Zeit mal die Community zu befragen.
Unser Problem:
Nach dem neuesten Sicherheitsupdate vom El Capitan (eingespielt am Freitag zum Feierabend), konnten wir uns am Montag nicht mehr bei unserem iChat Server (Openfire) anmelden. Dieser holt sich die Anmeldetaten per LDAP aus der Open Directory. Dabei fiel uns auch auf das unsere NAS-Boxen, welche teilweise die Freigaben ebenfalls über LDAP regeln auch nicht mehr richtig funktionieren. Ebenfalls das Anmelden für eine VNC-Verbindung zum OS X Server war mit den Netzwerkaccounts nicht mehr möglich – vorher jahrelang schon. Nur der lokale Adminaccount vom Server gewährte den Zugriff. Radius und Dateifreigaben vom Server funktionierten aber weiterhin einwandfrei.
Ergebnis der Testorgie:
Da Neustarts, Neuinstallationen der Chatsoftware, Neuaufsetzen und Rekerberizieren der OD, etliche Spielereien im Terminal etc. nicht halfen, haben wir gestern abend das Backup vom Server von vor dem Update eingespielt.
Seitdem funktioniert iChat wieder und wir können uns auch wie zuvor per VNC mit dem Server verbinden. Die NAS Boxen melden aber den LDAP Status als "Online" an, die Benutzer- und Gruppenliste bleibt aber leer.
Der Server spuckt ständig die Meldung aus:
kdc[116]: AS-REQ diradmin@KDCSETUP from 127.0.0.1:57891 for krbtgt/KDCSETUP@KDCSETUP
kdc[116]: UNKNOWN -- diradmin@KDCSETUP: no such entry found in hdb
Keine Ahnung wo das KDCSETUP herkommt, denn Kerberos nutzen wir eigentlich nicht.
DNS und die Einstellungen vom dirserv sind auch alle korrekt.
slapd.log wird zugemüllt von:
server1 slapd[354]: odusers_krb_auth: Error obtaining credentials for diradmin: -1765328378
Ich vermute durch die NASes, denn die gleiche Meldung wurde auch ständig vom Openfire/iChat-Server generiert solange es Probleme mit dem LDAP gab.
Unser Aufbau:
- Mac Pro mit ESXi Virtualisierung (1x OS X und 2x Ubuntu Server)
- OS X Server für File Sharing und OD
- 1x NAS (QNAP) mit 8 Platten für Storage per iSCSI und Virtualisierungen vom DNS- und iChat-Server sowie Testumgebungen
- 1X NAS (QNAP) mit 4 Platten für Backups und einfachere Ordnerfreigaben
- Alles per GBit-LAN verdrahtet
Nun die großen Fragen:
Kann das Verhalten jemand bestätigen?
Könnte das mal wieder ein Bug von Apple sein?
Hat jemand eine Idee was noch helfen könnte?
Bei den aktuellen grausamen Sicherheitslücken, müssen wir ja eher früher als später die Updates einspielen.
Danke schon mal im Voraus für eure Antworten.
Mac Pro, OS X El Capitan (10.11.6)