Thread wurde vom System oder vom Community-Team geschlossen.

El Capitan Security Update 2017-005 zerstört LDAP?

Hallo alle zusammen,


da ich nun zwei volle Tage damit verbracht habe herumzutesten, Backups einzuspielen, alle möglichen Einstellungen anzupassen und langsam wahnsinnig zu werden, wird es nun Zeit mal die Community zu befragen.


Unser Problem:

Nach dem neuesten Sicherheitsupdate vom El Capitan (eingespielt am Freitag zum Feierabend), konnten wir uns am Montag nicht mehr bei unserem iChat Server (Openfire) anmelden. Dieser holt sich die Anmeldetaten per LDAP aus der Open Directory. Dabei fiel uns auch auf das unsere NAS-Boxen, welche teilweise die Freigaben ebenfalls über LDAP regeln auch nicht mehr richtig funktionieren. Ebenfalls das Anmelden für eine VNC-Verbindung zum OS X Server war mit den Netzwerkaccounts nicht mehr möglich – vorher jahrelang schon. Nur der lokale Adminaccount vom Server gewährte den Zugriff. Radius und Dateifreigaben vom Server funktionierten aber weiterhin einwandfrei.


Ergebnis der Testorgie:

Da Neustarts, Neuinstallationen der Chatsoftware, Neuaufsetzen und Rekerberizieren der OD, etliche Spielereien im Terminal etc. nicht halfen, haben wir gestern abend das Backup vom Server von vor dem Update eingespielt.

Seitdem funktioniert iChat wieder und wir können uns auch wie zuvor per VNC mit dem Server verbinden. Die NAS Boxen melden aber den LDAP Status als "Online" an, die Benutzer- und Gruppenliste bleibt aber leer.

Der Server spuckt ständig die Meldung aus:

kdc[116]: AS-REQ diradmin@KDCSETUP from 127.0.0.1:57891 for krbtgt/KDCSETUP@KDCSETUP
kdc[116]: UNKNOWN -- diradmin@KDCSETUP: no such entry found in hdb

Keine Ahnung wo das KDCSETUP herkommt, denn Kerberos nutzen wir eigentlich nicht.

DNS und die Einstellungen vom dirserv sind auch alle korrekt.


slapd.log wird zugemüllt von:

server1 slapd[354]: odusers_krb_auth: Error obtaining credentials for diradmin: -1765328378

Ich vermute durch die NASes, denn die gleiche Meldung wurde auch ständig vom Openfire/iChat-Server generiert solange es Probleme mit dem LDAP gab.


Unser Aufbau:

  • Mac Pro mit ESXi Virtualisierung (1x OS X und 2x Ubuntu Server)
  • OS X Server für File Sharing und OD
  • 1x NAS (QNAP) mit 8 Platten für Storage per iSCSI und Virtualisierungen vom DNS- und iChat-Server sowie Testumgebungen
  • 1X NAS (QNAP) mit 4 Platten für Backups und einfachere Ordnerfreigaben
  • Alles per GBit-LAN verdrahtet


Nun die großen Fragen:

Kann das Verhalten jemand bestätigen?

Könnte das mal wieder ein Bug von Apple sein?

Hat jemand eine Idee was noch helfen könnte?

Bei den aktuellen grausamen Sicherheitslücken, müssen wir ja eher früher als später die Updates einspielen.


Danke schon mal im Voraus für eure Antworten.

Mac Pro, OS X El Capitan (10.11.6)

Gepostet am 10. Jan. 2018 12:48

Antworten
Frage gekennzeichnet als Beste Antwort

Gepostet am 22. Jan. 2018 17:15

Da wir keine richtige Lösung für das Problem gefunden haben und die Dokumentationen von Apple zu den OD Funktionen nur bis zum 10.6 Server in einer Form, die man als professionell betiteln kann, vorhanden sind, haben wir uns entschieden einen Active Directory Domain Controller auf Linux-Basis aufzusetzen und uns langsam von Apple als Serversystem zu verabschieden.

Die Benutzerverwaltung muss einfach zuverlässig funktionieren und anscheinend ist es Apple nicht mehr wichtig dies zu gewährleisten.


So können wir zumindest wenn sich unser Mac Pro im Serverschrank verabschiedet, diesen relativ einfach durch eine richtige Servermaschine ersetzen. Weiter so Apple, als nächtes nur noch die Client Maschinen vermiesen. Beim Anblick vom iMac Pro(fit) mit Schminkspiegel und ohne Wartungsmöglichkeiten wird dieses Ziel auch relativ schnell erreicht.

3 Antworten

Es sind keine Antworten vorhanden.

El Capitan Security Update 2017-005 zerstört LDAP?

Willkommen in der Apple Support Community
Ein Forum, in dem Apple-Kunden sich gegenseitig mit ihren Produkten helfen. Melde dich mit deiner Apple-ID an, um Mitglied zu werden.