17 berichten aan het bekijken - 1 tot 17 (van in totaal 17)
  • Q:
    Geblokkeerd
    geanonimiseerde gebruiker

    OS X Server Directory Administrator ineens geen OD wachtwoord meer

    Ik wil dringend een wachtwoord van een gebruiker veranderen i.v.m diefstal iPhone en nu krijg ik dat niet voor elkaar omdat de Directory Administrator account geen OD wachtwoord meer heeft (daar kom ik nu achter dus). Ik heb volgens advies op Apple support forum al geprobeerd een nieuwe Bind in Directory Utility te maken maar dat heeft geen effect gehad.

    Heef iemand dit al eens bij de hand gehad en weet iemand een oplossing?

    OS X 10.9.5 Mavericks + OS X Server 3.2.2

    Bijdrager
    Escher

    En als Root user?

    Geblokkeerd
    geanonimiseerde gebruiker

    Not Authenticated linksboven. En alles is greyed out, geen rechten.

    Bijdrager
    fredmatrack

    En met de Server app? Ik zie dat je nog gebruik maakt van Workgroup Manager wat niet echt meer wordt aangeraden door Apple.
    Probeer eens een Herstel permissies in Schijfhulp. Ik heb onlangs ook problemen met onze OD gehad en die waren hierna opgelost.

    Bijdrager
    Maurits

    Onder 10.9 werkt workgroup manager prima.
    Permissies herstellen lijkt me niet helpen.
    wat wel helpt is dit kbase artikel: HT200182 : OS X Server: How to reset the Open Directory administrator password.

    Je moet nog wel een locale admin zijn, en dat password weten.
    Weet je dat ook niet, dan kan je dat ook resetten met deze procedure: osx daily

    Geblokkeerd
    geanonimiseerde gebruiker

    Ik ga eens kijken of repair permissions heeft geholpen. Zo niet, dan die kbase en osx daily informatie eens proberen.

    Uitkomst repair:

     
    Permissions differ on "private/var/db/openldap/openldap-data"; should be drwxr-xr-x ; they are drwx------ 
    Repaired "private/var/db/openldap/openldap-data"
    Finished verify/repair permissions on disk0s2 OS X Server
     
    Geblokkeerd
    geanonimiseerde gebruiker

    Helaas, repair permissions heeft niet geholpen, ook het kbase artikel (met gebruik van de echte domeinnaam) niet:

     
    www:~ administrator$ sudo ldappasswd -x -H ldapi://%2Fvar%2Frun%2Fldapi -S uid=diradmin,cn=users,dc=ldap1,dc=www,dc=domeinnaam,dc=nl
    New password: 
    Re-enter new password: 
    Result: Server is unwilling to perform (53)
    Additional info: Error setting password
    www:~ administrator$ 
     
    Bijdrager
    fredmatrack

    Heb je herstart na die permissie check?

    Geblokkeerd
    geanonimiseerde gebruiker

    Yessss.:)

    Geblokkeerd
    geanonimiseerde gebruiker

    Zou een upgrade naar 10.10 ook afdoende zijn? De laatste keer dat ik dat deed ging MySQL stuk, werkten .htaccess bestanden in de web dirs niet meer e.d. en heb ik van pure ellende een roll back gedaan een paar maanden terug.

    Inmiddels heb ik er een stappenplan voor (ook main.cf moest toen handmatig worden aangepast anders werkte mail ook niet meer. Maar misschien gaat dat nu allemaal wel goed.

    Als een upgrade het probleem verhelpt dan moet dat maar, puinruimen in het kielzog eventueel.

    Bijdrager
    fredmatrack

    Wij hebben zelf vrij snel de upgrade naar 10.10 en server 4 gedaan. Dat werkte voor ons toch net iets stabieler dan 10.9. MySQL draaien we nog op 10.6 server (en binnenkort op een Linux). De .htaccess bestanden bleven zonder problemen werken na de upgrade.

    Workgroup Manager kan je onder 10.10 best niet meer gebruiken want dat zorgt vaak voor problemen.

    Geblokkeerd
    geanonimiseerde gebruiker

    Ja dat had ik gelezen, is ingecalculeerd. Ik heb nog twee servers draaien met 10.10, ik kan de websites wel tijdelijk migreren en daarna de 001 upgraden, dan hoef ik in eerste instantie alleen mij op de continuïteit van mail te concentreren. Lastige materie. Kan je mail van users ook migreren eigenlijk? Want dan bouw ik daarna de server gewoon helemaal opnieuw op.

    Zit ik er alleen mee dat ik eigenlijk nog steeds dringend een wachtwoord moet aanpassen.

    Sleutelbeheerder
    Night
    Lang op 18 juni 2015

    Helaas, repair permissions heeft niet geholpen, ook het kbase artikel (met gebruik van de echte domeinnaam) niet:

     
    www:~ administrator$ sudo ldappasswd -x -H ldapi://%2Fvar%2Frun%2Fldapi -S uid=diradmin,cn=users,dc=ldap1,dc=www,dc=domeinnaam,dc=nl
    New password: 
    Re-enter new password: 
    Result: Server is unwilling to perform (53)
    Additional info: Error setting password
    www:~ administrator$ 
     

    Heb je hier wel je oude passsword ingegeven?

    Bijdrager
    fredmatrack

    In 10.9 kon je die mail manueel overzetten (zijn eigenlijk maar wat mapjes en bestanden per gebruiker). Onder 10.10 heb ik dat nog niet getest maar het staat voor binnen twee weken gepland omdat we dan onze 10.6 mailserver gaan migreren naar 10.10. Ik vermoed echter dat de structuur in 10.9 niet zo hard verschilt van 10.10 en dat je dus de mail kan overzetten.

    Geblokkeerd
    geanonimiseerde gebruiker

    Er werd niet om een oud wachtwoord gevraagd @Night.

    Bijdrager
    Maurits

    als je upgrade naar 10.10 zullen de problemen NOOIT overgaan, en vermoedelijk alleen erger worden.
    Dus eerst je LDAP fixen, dan pas denken aan upgraden.

    het commando begint met sudo, dus dan moet je het huidige (local)admin wachtwoord gebruiken.
    als je kort tevoren ook sudo hebt gedaan, (5 minuten geloof ik) hoeft dat niet nogmaals.
    Ik denk dat dit de reden is dat je niet om een wachtwoord gevraagd wordt.

    LDAP troubleshooten is niet eenvoudig.
    ik vind een link naar een ldap met missing replica info: https://itsecureadmin.com/2013/01/ldapmodify-fails-with-server-is-unwilling-to-perform-53/
    maar ik weet niet of dat voor jou van toepassing is.

    Heb je nog een backup (b.v. van Time Machine, die maakt een OD archive in de map /var/backups/ServerBackup_OpenDirectoryMaster.sparseimage
    en die wordt naar de backup (elk uur dus) gekopieerd. Dus zoek die eens op in je backup.

    en de backup terugzetten kan met server.app of de command line (zie https://support.apple.com/kb/PH15633)
    dan ben je wel de wijzigingen sinds die backup kwijt, maar je zou wel je diradmin password terug kunnen krijgen.

    Ik zou dan ldap verwijderen door van OD master naar stand alone te gaan, en dan weer opbouwen met nieuwe diradmin (andere shortname) en dan de backup terugzetten)
    Misschien is er bij de stap van standalone naar OD master wel direct de mogelijkheid vanaf de backup terug te zetten??
    zie ook https://frederik.lindenaar.nl/2013/08/10/restoring_opendirectory_on_mac_os_x_mountain_lion_server.html
    Weliswaar niet 10.9, maar is wel soortgelijk probleem.

    Geblokkeerd
    geanonimiseerde gebruiker

    Ik heb besloten om eerst alle websites te migreren, dan mail. Na de migratie ga ik een hele nieuwe build doen op 001 en migreer alleen de websites terug. Even de load en maintenance beter verdelen. 003 draait nu alleen 2 websites en MySQL dus dat kan wel.

    O ja, Time machine draait als een zonnetje met een lokale en een remote backup dus ik zit safe als ik een rollback moet doen.:)

17 berichten aan het bekijken - 1 tot 17 (van in totaal 17)

Je moet ingelogd zijn om een reactie op dit onderwerp te kunnen geven.