---

Hejsa, jeg er blevet hvirvlet ind i Active Directory i Leopard på min
bærbare arbejdscomputer. Da der indledende har været en del problemer
med min "Admin, managed, mobile"-konto på computeren, kunne jeg godt
tænke mig at sætte mig lidt mere ind i tingene så jeg selv kan håndtere
problemer i den forbindelse.

Er der nogen som har kommentarer, links til resurser og gode
introduktioner til hvordan det fungerer (og ikke fungerer) på OSX?
Foregår det hele fra Directory Utility.app?

Jeg fik den bærbare computer i torsdags (nyinstalleret) og efter at have
logget ind på den to gange begyndte den at afvise mit kodeord. Den
efterfølgende dag brugte systemadministratoren rundt regnet 4 timer på
at få det til at fungere. Derfor har jeg fået en fornemmelse af at AD er
lidt ligesom et korthus på Leoparden og det duer ikke da computeren er
et centralt redskab.

~ Jørgen

---

Jørgen Tietze <tietze@mail.dk> wrote:
> Hejsa, jeg er blevet hvirvlet ind i Active Directory i Leopard på min
> bærbare arbejdscomputer. Da der indledende har været en del problemer
> med min "Admin, managed, mobile"-konto på computeren, kunne jeg godt
> tænke mig at sætte mig lidt mere ind i tingene så jeg selv kan håndtere
> problemer i den forbindelse.
>
> Er der nogen som har kommentarer, links til resurser og gode
> introduktioner til hvordan det fungerer (og ikke fungerer) på OSX?
> Foregår det hele fra Directory Utility.app?

konfigurationen mja.

kerberos konfigurationsfil er et glimrende sted at kigge efter
fejl (dvs /Library/Preferences/edu.mit.kerberos).

man DirectoryService er et godt sted at starte. Debugging slås til
med: sudo killall -USR1 DirectoryService.
API debuging slås til med -USR2 optionen, men det bør kun være
udviklere der har dette behov.

DNS og dns suffix /skal/ være i orden.

Selvom det er det er det min erafaring at der skal bruges fqdn på 10.5
(og i nogen grad også 10.4.11). På 10.4.6-10.4.10 virker brugen af
hostnavne fint såfremt dns suffix er i orden.

Netbios naminmg duer /ikke/.

> Jeg fik den bærbare computer i torsdags (nyinstalleret) og efter at have
> logget ind på den to gange begyndte den at afvise mit kodeord. Den
> efterfølgende dag brugte systemadministratoren rundt regnet 4 timer på
> at få det til at fungere. Derfor har jeg fået en fornemmelse af at AD er
> lidt ligesom et korthus på Leoparden og det duer ikke da computeren er
> et centralt redskab.

AD plugin'en i 10.5 er i udu. Jeg lister lige de mest gænse bugs

Den kan ikke hitte ud af det hvis en forrest indeholder flere
domainer.

Den har en begrænsning der gør at den står af hvis der er er flere end
256 domaine controlere i skoven.

Kerberos autoconfig er i udu. Ofte konfigureres den først i 3 eller 4
forsøg på at oprette en binding. I mange tilfælde skrives der intet
til edu.mit.kerberos.

Sidst men ikke mindst er resolveren generelt i udu og respekterer ikke SRV
records, Værre er dog caching modellen i 10.5's resolver også er i udu.
Du risikerer følgende scenarie når du sender et ldap request af sted
mod en DC. DC'ens ldapserver vil spørge efter din klients kerberos
credentials. Din klient /bør/ bruge dns opslaget fra tidligere men
under 10.5 laver den endnu et opslag. Hvis dette opslag er det smame
som det første er alt ok, men du kan snildt komme ud for at opslaget
ender på en anden DC, der svarer en lille smule hurtigere. Den først
opslåede LDAP server venter stadig på et svar, mens din klient sender
svaret til servren der blev slået op i anden opgang - Dvs du kan ikke
authenticere imod jeres AD.

De ovenstående fejl har eksisteret i hele betafasen og rygtes at være
løst i 10.5.2 - jeg vil dog se det før jeg tror på det. Jeg
installerer stadig 10.4 på alle vores klienter pga disse bugs.

Grunden til at eks resolver bug'en er et stort problem på mac klienter
er at Apples AD klient ikke bruger "Sites and Services" til at
definere hvilke DC'ere klienten skal tale med (windows klienter bruger
sites and services).

Apples klient forlader sig på SRV records samt på at klienten poler
samtlige DC'ere i forresten for hitte ud af hvilken der svarer
hurtigst (og den gør det hele tiden, også når du er logget ind).

Dette kan give problmer i det klienten muligvis kan pinge en
DC'er men ikke kan få lov til at snakke med den pga routeing tabeller
eller firewall regler. I et sådan tilfælde vil Apples klient skrive de
hurtigst svarende DC'ere ned i edu.kerberos.mit hvorefter kerberos og
ldap klientene på Mac OS X insisterer på at anvende dem.

Man kan delvist låse Apples klient ved at deaktivere
kerberosautoconfig (står beskrevet i en AD konfigureret
edu.kerberos.mit fil), samt ved at angive en prefered doomaine
controler i DirectorySetup.app. Afhængig af netværks og AD design kan
det være en god ide.

Mobile accounts anvender mcx og introducerer dermed problemstillinger
løses med de gængse mcx værktøjer. Desværre er det endnu ikke lykkedes
mig at finde ekvivalenter til 10,4's MCXCacher mm. under 10.5.

MCXCacher -d eller -f flusher/sletter cachede computere, settings,
grupper og brugere hvilket der undertiden er behov for når disse er
ude er sync - Det sker med mellemrum på bærbare computere der flyttes
ind og ud af netværket.

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

Merlin Works CR-3/2.5 & Campagnolo Chorus 2007.

---

Mange tak for fyldigt og detaljeret svar!

Principielt er der vel ikke noget i vejen for at jeg selv kan binde min
mac til AD og lave kerberoskonfiguration? Kræver det særlige rettigheder
på andet end den lokale maskine?

Jeg kan se at der ved fjernadministratioenen er blevet rodet lidt rundt
i permissions (Disk Utility har repareret i over 2 timer nu) og den
mobile konto har fungeret sært indtil jeg opdagede at det tomme felt
"User Name" under Accounts -> Password skulle/ kunne udfyldes (gentagne
Finder-crashes ved undersøgelse af permissions). Det er indtil videre en
osx uden noget ekstra installeret software.

Vil en systemadministrator være meget ked af at man gerne vil deltage i
konfigurationen selv? (som lægmand synes jeg det er lidt sært at der
skal være så meget reparation og bøvl med en helt ny osx) Jeg holder
meget af at konfigurationen er så simpel og håndterbar så mulig, så
alting kan gendannes forholdsvist smertefrit.

Morten Reippuert Knudsen <spam@reippuert.dk> wrote:

> Jørgen Tietze <tietze@mail.dk> wrote:
> >
> > Er der nogen som har kommentarer, links til resurser og gode
> > introduktioner til hvordan det fungerer (og ikke fungerer) på OSX?
> > Foregår det hele fra Directory Utility.app?
>
> konfigurationen mja.
>
> kerberos konfigurationsfil er et glimrende sted at kigge efter
> fejl (dvs /Library/Preferences/edu.mit.kerberos).

[...]

> Kerberos autoconfig er i udu. Ofte konfigureres den først i 3 eller 4
> forsøg på at oprette en binding. I mange tilfælde skrives der intet
> til edu.mit.kerberos.

Mmh, det ser ud til at den kører autoconfig. Der er på nuværende
tidspunkt skrevet et "generation_id", men filen ser ellers ud til at
indeholde de rigtige informationer.

> De ovenstående fejl har eksisteret i hele betafasen og rygtes at være
> løst i 10.5.2 - jeg vil dog se det før jeg tror på det. Jeg
> installerer stadig 10.4 på alle vores klienter pga disse bugs.

Men lidt håb måske

> Grunden til at eks resolver bug'en er et stort problem på mac klienter
> er at Apples AD klient ikke bruger "Sites and Services" til at
> definere hvilke DC'ere klienten skal tale med (windows klienter bruger
> sites and services).
>
> Apples klient forlader sig på SRV records samt på at klienten poler
> samtlige DC'ere i forresten for hitte ud af hvilken der svarer
> hurtigst (og den gør det hele tiden, også når du er logget ind).
>
> Dette kan give problmer i det klienten muligvis kan pinge en
> DC'er men ikke kan få lov til at snakke med den pga routeing tabeller
> eller firewall regler. I et sådan tilfælde vil Apples klient skrive de
> hurtigst svarende DC'ere ned i edu.kerberos.mit hvorefter kerberos og
> ldap klientene på Mac OS X insisterer på at anvende dem.
>
> Man kan delvist låse Apples klient ved at deaktivere
> kerberosautoconfig (står beskrevet i en AD konfigureret
> edu.kerberos.mit fil), samt ved at angive en prefered doomaine
> controler i DirectorySetup.app. Afhængig af netværks og AD design kan
> det være en god ide.

Det kunne være at det skulle prøves. Der er ikke opsat nogen prefered
DC. Men det kan være jeg skal tale lidt med administratoren først om
dette kan fungere og deaktivere den automatiske konfiguration af
kerberoskonfigurationen.

> Mobile accounts anvender mcx og introducerer dermed problemstillinger
> løses med de gængse mcx værktøjer. Desværre er det endnu ikke lykkedes
> mig at finde ekvivalenter til 10,4's MCXCacher mm. under 10.5.
>
> MCXCacher -d eller -f flusher/sletter cachede computere, settings,
> grupper og brugere hvilket der undertiden er behov for når disse er
> ude er sync - Det sker med mellemrum på bærbare computere der flyttes
> ind og ud af netværket.

Ja det kunne jeg godt forestille mig ville give noget rod.

~ Jørgen

---

Jørgen Tietze <tietze@mail.dk> wrote:
> Mange tak for fyldigt og detaljeret svar!
>
> Principielt er der vel ikke noget i vejen for at jeg selv kan binde min
> mac til AD og lave kerberoskonfiguration? Kræver det særlige rettigheder
> på andet end den lokale maskine?

Det kommer helt an på jeres setup.

out of the box kan en almindelig bruger binde 5 maskine op imod AD men mange
adminer vælger at disable dette. Andre admiiner vælger et setup der
kræver at computer accounten laves i AD inden en maskine bindes på.

> Jeg kan se at der ved fjernadministratioenen er blevet rodet lidt rundt
> i permissions (Disk Utility har repareret i over 2 timer nu) og den
> mobile konto har fungeret sært indtil jeg opdagede at det tomme felt
> "User Name" under Accounts -> Password skulle/ kunne udfyldes (gentagne
> Finder-crashes ved undersøgelse af permissions). Det er indtil videre en
> osx uden noget ekstra installeret software.

Jeg tror ikke han har pillet ved rettigheder. Det må hører under
besynderlige fejl i 10.5.n.

Han har højst dimset med rettighederne på din egen home mappe og det
vil ikke dukke op som en fejl når du prøver at disme med Diskværktøs
agent.

I det hele taget vil jeg fraråde dig at du kører denne agent. Adminen
kan bevidst have sat andre rettigheder end dem Apples kvitteringer
har lagret

Du skal ikke pille ved din konto (andet end login-items). Det er en
cachet kopi af den der ligger i AD og du risikere blot at rendere din
cachede kopi helt ubrugelig (til admin'ens irritation)

Hvorfor ikke bare forlade sig på at admin'en kan sit kram? Jeg er ikke
stødt på dødelige brugere der har den fornødne indsigt til at
kunne overtrumfe os IT. Jeg er stødt på nogen der har forsøgt med det
resultat at brugeren ikke kan arbejde og vi skal på sagen. Således
tror jeg det forholder sig i de fleste brancher hvor der anvendes Mac.

> Vil en systemadministrator være meget ked af at man gerne vil deltage i
> konfigurationen selv?

Mja, du bruger hans tid. Den kan han sikket bruge mere fornuftigt.

>> Kerberos autoconfig er i udu. Ofte konfigureres den først i 3 eller 4
>> forsøg på at oprette en binding. I mange tilfælde skrives der intet
>> til edu.mit.kerberos.
>
> Mmh, det ser ud til at den kører autoconfig. Der er på nuværende
> tidspunkt skrevet et "generation_id", men filen ser ellers ud til at
> indeholde de rigtige informationer.

Hvor stort er jeres forrest?

Adminen kan også have snydt og forsøgt sig med en edu.kerberos.mit
fra en 10.4.n installation (Har forsøgt mig i voress setup uden held)

>> De ovenstående fejl har eksisteret i hele betafasen og rygtes at være
>> løst i 10.5.2 - jeg vil dog se det før jeg tror på det. Jeg
>> installerer stadig 10.4 på alle vores klienter pga disse bugs.
>
> Men lidt håb måske

Ellers er fanden løs hos os når brugerne begynder at forlange MB
Air... (Desværre er netop dem der vil forlange MB Air også dem der
bestemmer). MB, MBP og MP kan heldigvis stadig køre 10.4.11.

>> Grunden til at eks resolver bug'en er et stort problem på mac klienter
>> er at Apples AD klient ikke bruger "Sites and Services" til at
>> definere hvilke DC'ere klienten skal tale med (windows klienter bruger
>> sites and services).
>>
>> Apples klient forlader sig på SRV records samt på at klienten poler
>> samtlige DC'ere i forresten for hitte ud af hvilken der svarer
>> hurtigst (og den gør det hele tiden, også når du er logget ind).
>>
>> Dette kan give problmer i det klienten muligvis kan pinge en
>> DC'er men ikke kan få lov til at snakke med den pga routeing tabeller
>> eller firewall regler. I et sådan tilfælde vil Apples klient skrive de
>> hurtigst svarende DC'ere ned i edu.kerberos.mit hvorefter kerberos og
>> ldap klientene på Mac OS X insisterer på at anvende dem.
>>
>> Man kan delvist låse Apples klient ved at deaktivere
>> kerberosautoconfig (står beskrevet i en AD konfigureret
>> edu.kerberos.mit fil), samt ved at angive en prefered doomaine
>> controler i DirectorySetup.app. Afhængig af netværks og AD design kan
>> det være en god ide.
>
> Det kunne være at det skulle prøves. Der er ikke opsat nogen prefered
> DC. Men det kan være jeg skal tale lidt med administratoren først om
> dette kan fungere og deaktivere den automatiske konfiguration af
> kerberoskonfigurationen.

sæt fqdn på prefered DC, udkommentering af de to af kerberosautoconfig
genererede linier i edu.kerberos.mit er kun nødvendig hvis du bor i en
skov man mange DC'ere på multiple sites som er sepereret (aka VLAN,
ildvægregeler etc).

>> Mobile accounts anvender mcx og introducerer dermed problemstillinger
>> løses med de gængse mcx værktøjer. Desværre er det endnu ikke lykkedes
>> mig at finde ekvivalenter til 10,4's MCXCacher mm. under 10.5.
>>
>> MCXCacher -d eller -f flusher/sletter cachede computere, settings,
>> grupper og brugere hvilket der undertiden er behov for når disse er
>> ude er sync - Det sker med mellemrum på bærbare computere der flyttes
>> ind og ud af netværket.
>
> Ja det kunne jeg godt forestille mig ville give noget rod.

ikke "ville" - men "vil".

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

Merlin Works CR-3/2.5 & Campagnolo Chorus 2007.

---

Morten Reippuert Knudsen <spam@reippuert.dk> wrote:

> Jørgen Tietze <tietze@mail.dk> wrote:
> > Mange tak for fyldigt og detaljeret svar!
> >
> > Principielt er der vel ikke noget i vejen for at jeg selv kan binde min
> > mac til AD og lave kerberoskonfiguration? Kræver det særlige rettigheder
> > på andet end den lokale maskine?
>
> Det kommer helt an på jeres setup.
>
> out of the box kan en almindelig bruger binde 5 maskine op imod AD men mange
> adminer vælger at disable dette. Andre admiiner vælger et setup der
> kræver at computer accounten laves i AD inden en maskine bindes på.

Ok, jeg tænkte jeg ville lave et lille eksperiment hvor jeg bandt min
hjemme-computer til netværket, da det er min arbejdscomputer indtil den
anden kommer til at fungere tilfredsstillende. Men det er ikke sikkert
at det vil blive et successfuldt eksperiment så.

> > Jeg kan se at der ved fjernadministratioenen er blevet rodet lidt rundt
> > i permissions (Disk Utility har repareret i over 2 timer nu) og den
> > mobile konto har fungeret sært indtil jeg opdagede at det tomme felt
> > "User Name" under Accounts -> Password skulle/ kunne udfyldes (gentagne
> > Finder-crashes ved undersøgelse af permissions). Det er indtil videre en
> > osx uden noget ekstra installeret software.
>
> Jeg tror ikke han har pillet ved rettigheder. Det må hører under
> besynderlige fejl i 10.5.n.
>
> Han har højst dimset med rettighederne på din egen home mappe og det
> vil ikke dukke op som en fejl når du prøver at disme med Diskværktøs
> agent.

Det var øjensynligt Applications som Disk Utility havde i søgelyset. En
lokal 'sysadm' bruger (den bruges til remote-admin) havde ejerskab i
stedet for root, det blev rettet for Apples programmer og det tog
åbenbart Disk Utility en del tid. Det virker som noget rod da det er mig
der skal fjerne og tilføje programmer fra Applications.

Yderligere kunne en vmware-maskine ikke køre pga. forkerte tilladelser
(sat til en bruger som ikke længere eksisterede).

> I det hele taget vil jeg fraråde dig at du kører denne agent. Adminen
> kan bevidst have sat andre rettigheder end dem Apples kvitteringer
> har lagret

Ok, kommentaren fra administratoren var at jeg skulle være administrator
på maskinen lokalt, så jeg havde slet ikke i tankerne at Disk Utility
kunne modarbejde AD og hans aktiviteter.

> Du skal ikke pille ved din konto (andet end login-items). Det er en
> cachet kopi af den der ligger i AD og du risikere blot at rendere din
> cachede kopi helt ubrugelig (til admin'ens irritation)

Ok, så det user ID og group ID som er sat lokalt hænger højest
sandsynligt sammen med noget i AD? Jeg har fundet ud af at det Finder
hele tiden crasher på er at group ID er sat til noget den ikke kan
genkende (nemlig: 985097921). Traditionelt er group ID vist sat til 20
for staff. Jf. diskussionerne:
<http://discussions.apple.com/thread.jspa?threadID=1197433>
<http://discussions.apple.com/thread.jspa?threadID=1228363>

Login Items fungerer slet ikke (System Preferences hænger), medmindre
jeg holder alt nede under login og vælger "Disable Settings" til
dialogboksen "This computer will be managed. Would you like to continue
with managed settings enabled?".

Det er noget rod da jeg har fået tildelt en smb-netværks-mappe, som skal
mountes og det ville jo være nemt at gøre med login items.

> Hvorfor ikke bare forlade sig på at admin'en kan sit kram? Jeg er ikke
> stødt på dødelige brugere der har den fornødne indsigt til at
> kunne overtrumfe os IT. Jeg er stødt på nogen der har forsøgt med det
> resultat at brugeren ikke kan arbejde og vi skal på sagen. Således
> tror jeg det forholder sig i de fleste brancher hvor der anvendes Mac.
>
> > Vil en systemadministrator være meget ked af at man gerne vil deltage i
> > konfigurationen selv?
>
> Mja, du bruger hans tid. Den kan han sikket bruge mere fornuftigt.

Nej, jeg mener helt bestemt ikke jeg kan trumfe systemadministratoren.
Det virker blot ikke som om at det er smart han bruger 4 timer på at få
en nyinstalleret maskine til at fungere. Jeg spurgte ham specifikt om
der ikke var problemer med Leopard og AD og han svarede at det skulle
jeg da være den første til at opleve. Her tænkte jeg specifikt på at du
tidligere har ytret at AD ikke fungerede så godt, så det undrede mig en
del.

> >> Kerberos autoconfig er i udu. Ofte konfigureres den først i 3 eller 4
> >> forsøg på at oprette en binding. I mange tilfælde skrives der intet
> >> til edu.mit.kerberos.
> >
> > Mmh, det ser ud til at den kører autoconfig. Der er på nuværende
> > tidspunkt skrevet et "generation_id", men filen ser ellers ud til at
> > indeholde de rigtige informationer.
>
> Hvor stort er jeres forrest?

Det ved jeg faktisk slet ikke - det måles på hvor mange domæner der er?

> >> Man kan delvist låse Apples klient ved at deaktivere
> >> kerberosautoconfig (står beskrevet i en AD konfigureret
> >> edu.kerberos.mit fil), samt ved at angive en prefered doomaine
> >> controler i DirectorySetup.app. Afhængig af netværks og AD design kan
> >> det være en god ide.
> >
> > Det kunne være at det skulle prøves. Der er ikke opsat nogen prefered
> > DC. Men det kan være jeg skal tale lidt med administratoren først om
> > dette kan fungere og deaktivere den automatiske konfiguration af
> > kerberoskonfigurationen.
>
> sæt fqdn på prefered DC, udkommentering af de to af kerberosautoconfig
> genererede linier i edu.kerberos.mit er kun nødvendig hvis du bor i en
> skov man mange DC'ere på multiple sites som er sepereret (aka VLAN,
> ildvægregeler etc).

Ok, ja jeg skulle også få VPN adgang til netværket, men så langt er jeg
ikke kommet endnu.

~ Jørgen

---

Jørgen Tietze <tietze@mail.dk> wrote:

>> > Mange tak for fyldigt og detaljeret svar!
>> >
>> > Principielt er der vel ikke noget i vejen for at jeg selv kan binde min
>> > mac til AD og lave kerberoskonfiguration? Kræver det særlige rettigheder
>> > på andet end den lokale maskine?
>>
>> Det kommer helt an på jeres setup.
>>
>> out of the box kan en almindelig bruger binde 5 maskine op imod AD men mange
>> adminer vælger at disable dette. Andre admiiner vælger et setup der
>> kræver at computer accounten laves i AD inden en maskine bindes på.
>
> Ok, jeg tænkte jeg ville lave et lille eksperiment hvor jeg bandt min
> hjemme-computer til netværket, da det er min arbejdscomputer indtil den
> anden kommer til at fungere tilfredsstillende. Men det er ikke sikkert
> at det vil blive et successfuldt eksperiment så.

I har ikke en IT politik hvor du under trusler om alskens ulykker har
fraskrevet dig retten til at fortage dig sådanne handlinger?

>> > Jeg kan se at der ved fjernadministratioenen er blevet rodet lidt rundt
>> > i permissions (Disk Utility har repareret i over 2 timer nu) og den
>> > mobile konto har fungeret sært indtil jeg opdagede at det tomme felt
>> > "User Name" under Accounts -> Password skulle/ kunne udfyldes (gentagne
>> > Finder-crashes ved undersøgelse af permissions). Det er indtil videre en
>> > osx uden noget ekstra installeret software.
>>
>> Jeg tror ikke han har pillet ved rettigheder. Det må hører under
>> besynderlige fejl i 10.5.n.
>>
>> Han har højst dimset med rettighederne på din egen home mappe og det
>> vil ikke dukke op som en fejl når du prøver at disme med Diskværktøs
>> agent.
>
> Det var øjensynligt Applications som Disk Utility havde i søgelyset. En
> lokal 'sysadm' bruger (den bruges til remote-admin) havde ejerskab i
> stedet for root, det blev rettet for Apples programmer og det tog
> åbenbart Disk Utility en del tid. Det virker som noget rod da det er mig
> der skal fjerne og tilføje programmer fra Applications.

Sålænge de står med umaske på 0077 er det ikke et problem da du er
medlem af admin gruppen. Det software jeg kaster ned i halsen på vores
brugere står også med vores ekvivalent til sysadmin som ejer. Det er
der intet galt i.

> Yderligere kunne en vmware-maskine ikke køre pga. forkerte tilladelser
> (sat til en bruger som ikke længere eksisterede).
>
>> I det hele taget vil jeg fraråde dig at du kører denne agent. Adminen
>> kan bevidst have sat andre rettigheder end dem Apples kvitteringer
>> har lagret
>
> Ok, kommentaren fra administratoren var at jeg skulle være administrator
> på maskinen lokalt, så jeg havde slet ikke i tankerne at Disk Utility
> kunne modarbejde AD og hans aktiviteter.
>
>> Du skal ikke pille ved din konto (andet end login-items). Det er en
>> cachet kopi af den der ligger i AD og du risikere blot at rendere din
>> cachede kopi helt ubrugelig (til admin'ens irritation)
>
> Ok, så det user ID og group ID som er sat lokalt hænger højest
> sandsynligt sammen med noget i AD? Jeg har fundet ud af at det Finder
> hele tiden crasher på er at group ID er sat til noget den ikke kan
> genkende (nemlig: 985097921). Traditionelt er group ID vist sat til 20
> for staff. Jf. diskussionerne:
> <http://discussions.apple.com/thread.jspa?threadID=1197433>
> <http://discussions.apple.com/thread.jspa?threadID=1228363>

985097921 er formegenlig gruppen Domain Users i jeres AD. Det er helt
normalt.

din homemappe børe være ejet af din AD user's UID og tilhøre Domain
Users GUID.

Såfremt du kører i en loklat cachet AD konto står rettigehderne
korrekt. Din computer kan blot ikke resolve GUID'et til et navn når
den ikke har online kontakt til jeres AD.

hvad siger:

"id dit-ad-shortname"

> Login Items fungerer slet ikke (System Preferences hænger), medmindre
> jeg holder alt nede under login og vælger "Disable Settings" til
> dialogboksen "This computer will be managed. Would you like to continue
> with managed settings enabled?".
>
> Det er noget rod da jeg har fået tildelt en smb-netværks-mappe, som skal
> mountes og det ville jo være nemt at gøre med login items.

Jeg vil tro at admin'en enten har lagt den derind (eller bruger
loginhook, mcx eller eller UNC til at definere din home drev
på serveren)

>> Hvorfor ikke bare forlade sig på at admin'en kan sit kram? Jeg er ikke
>> stødt på dødelige brugere der har den fornødne indsigt til at
>> kunne overtrumfe os IT. Jeg er stødt på nogen der har forsøgt med det
>> resultat at brugeren ikke kan arbejde og vi skal på sagen. Således
>> tror jeg det forholder sig i de fleste brancher hvor der anvendes Mac.
>>
>> > Vil en systemadministrator være meget ked af at man gerne vil deltage i
>> > konfigurationen selv?
>>
>> Mja, du bruger hans tid. Den kan han sikket bruge mere fornuftigt.
>
> Nej, jeg mener helt bestemt ikke jeg kan trumfe systemadministratoren.
> Det virker blot ikke som om at det er smart han bruger 4 timer på at få
> en nyinstalleret maskine til at fungere.

Jeg har brugt laaaaaangt mere end 4 timer på den ene leopard maskine
vi har i drift (aka min egen).

> Jeg spurgte ham specifikt om
> der ikke var problemer med Leopard og AD og han svarede at det skulle
> jeg da være den første til at opleve. Her tænkte jeg specifikt på at du
> tidligere har ytret at AD ikke fungerede så godt, så det undrede mig en
> del.

Er du den eneste leopard bruger eller substidiert den eneste leopard
bruger med en bærbar hos jer?

Og har i mange mac'er eller kun nogen få?

>> >> Kerberos autoconfig er i udu. Ofte konfigureres den først i 3 eller 4
>> >> forsøg på at oprette en binding. I mange tilfælde skrives der intet
>> >> til edu.mit.kerberos.
>> >
>> > Mmh, det ser ud til at den kører autoconfig. Der er på nuværende
>> > tidspunkt skrevet et "generation_id", men filen ser ellers ud til at
>> > indeholde de rigtige informationer.
>>
>> Hvor stort er jeres forrest?
>
> Det ved jeg faktisk slet ikke - det måles på hvor mange domæner der er?

Jeg spørger både om hvormange DC'ere der står i jeres skov samt om
hvor mange domainer der er i jeres AD.

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

Merlin Works CR-3/2.5 & Campagnolo Chorus 2007.

---

Morten Reippuert Knudsen <spam@reippuert.dk> wrote:

> Jørgen Tietze <tietze@mail.dk> wrote:
>
> > Ok, jeg tænkte jeg ville lave et lille eksperiment hvor jeg bandt min
> > hjemme-computer til netværket, da det er min arbejdscomputer indtil den
> > anden kommer til at fungere tilfredsstillende. Men det er ikke sikkert
> > at det vil blive et successfuldt eksperiment så.
>
> I har ikke en IT politik hvor du under trusler om alskens ulykker har
> fraskrevet dig retten til at fortage dig sådanne handlinger?

Nej og der findes desværre heller ikke en "hjælp til selvhjælp" manual.

> Sålænge de står med umaske på 0077 er det ikke et problem da du er
> medlem af admin gruppen. Det software jeg kaster ned i halsen på vores
> brugere står også med vores ekvivalent til sysadmin som ejer. Det er
> der intet galt i.

Ok!

> "id dit-ad-shortname"

uid=583031089(******) gid=985097921
groups=985097921,101(com.apple.access_ssh),98(_lpadmin),80(admin),20(sta
ff)

> > Login Items fungerer slet ikke (System Preferences hænger), medmindre
> > jeg holder alt nede under login og vælger "Disable Settings" til
> > dialogboksen "This computer will be managed. Would you like to continue
> > with managed settings enabled?".
> >
> > Det er noget rod da jeg har fået tildelt en smb-netværks-mappe, som skal
> > mountes og det ville jo være nemt at gøre med login items.
>
> Jeg vil tro at admin'en enten har lagt den derind (eller bruger
> loginhook, mcx eller eller UNC til at definere din home drev
> på serveren)

Nej, der er så vidt jeg husker ingenting der bliver mountet - det kan
være at der sker noget synkronisering, men ikke noget jeg umiddelbart
kunne se. Jeg er dog ikke logget på netværket nu.

> Er du den eneste leopard bruger eller substidiert den eneste leopard
> bruger med en bærbar hos jer?

Det ville undre mig, men det er da ikke umuligt. De eksisterende mac'er
kunne jo sagtens køre Tiger.

> Og har i mange mac'er eller kun nogen få?

Det er ikke så mange der bruger mac, da man skal anstrenge sig lidt for
at få fat i en.

> >> >> Kerberos autoconfig er i udu. Ofte konfigureres den først i 3 eller 4
> >> >> forsøg på at oprette en binding. I mange tilfælde skrives der intet
> >> >> til edu.mit.kerberos.
> >> >
> >> > Mmh, det ser ud til at den kører autoconfig. Der er på nuværende
> >> > tidspunkt skrevet et "generation_id", men filen ser ellers ud til at
> >> > indeholde de rigtige informationer.
> >>
> >> Hvor stort er jeres forrest?
> >
> > Det ved jeg faktisk slet ikke - det måles på hvor mange domæner der er?
>
> Jeg spørger både om hvormange DC'ere der står i jeres skov samt om
> hvor mange domainer der er i jeres AD.

Det må jeg lige prøve at finde ud af.

Mange tak for respons, det er god info!

~ Jørgen

---

Jørgen Tietze <tietze@mail.dk> wrote:

> Ok!
>
>> "id dit-ad-shortname"
>
> uid=583031089(******) gid=985097921
> groups=985097921,101(com.apple.access_ssh),98(_lpadmin),80(admin),20(sta
> ff)

= de /helt/ rigtige ejerforhold. Hvis du fortager samme opsalg fra en
maskine der /har/ fat i AD vil de samme UID og GUID værdier blive
oversat med de mere brugervenlige navne på bruger og gruppe fra AD.

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

Merlin Works CR-3/2.5 & Campagnolo Chorus 2007.

---

Morten Reippuert Knudsen wrote:
> Jørgen Tietze <tietze@mail.dk> wrote:
>> Hejsa, jeg er blevet hvirvlet ind i Active Directory i Leopard på min
>> bærbare arbejdscomputer. Da der indledende har været en del problemer
>> med min "Admin, managed, mobile"-konto på computeren, kunne jeg godt
>> tænke mig at sætte mig lidt mere ind i tingene så jeg selv kan håndtere
>> problemer i den forbindelse.
>>
>> Er der nogen som har kommentarer, links til resurser og gode
>> introduktioner til hvordan det fungerer (og ikke fungerer) på OSX?
>> Foregår det hele fra Directory Utility.app?
>
> konfigurationen mja.
>
> kerberos konfigurationsfil er et glimrende sted at kigge efter
> fejl (dvs /Library/Preferences/edu.mit.kerberos).
>
> man DirectoryService er et godt sted at starte. Debugging slås til
> med: sudo killall -USR1 DirectoryService.
> API debuging slås til med -USR2 optionen, men det bør kun være
> udviklere der har dette behov.
>
> DNS og dns suffix /skal/ være i orden.
>
> Selvom det er det er det min erafaring at der skal bruges fqdn på 10.5
> (og i nogen grad også 10.4.11). På 10.4.6-10.4.10 virker brugen af
> hostnavne fint såfremt dns suffix er i orden.
>
> Netbios naminmg duer /ikke/.
>
>> Jeg fik den bærbare computer i torsdags (nyinstalleret) og efter at have
>> logget ind på den to gange begyndte den at afvise mit kodeord. Den
>> efterfølgende dag brugte systemadministratoren rundt regnet 4 timer på
>> at få det til at fungere. Derfor har jeg fået en fornemmelse af at AD er
>> lidt ligesom et korthus på Leoparden og det duer ikke da computeren er
>> et centralt redskab.
>
> AD plugin'en i 10.5 er i udu. Jeg lister lige de mest gænse bugs
>
> Den kan ikke hitte ud af det hvis en forrest indeholder flere
> domainer.
>
> Den har en begrænsning der gør at den står af hvis der er er flere end
> 256 domaine controlere i skoven.
>
> Kerberos autoconfig er i udu. Ofte konfigureres den først i 3 eller 4
> forsøg på at oprette en binding. I mange tilfælde skrives der intet
> til edu.mit.kerberos.
>
> Sidst men ikke mindst er resolveren generelt i udu og respekterer ikke SRV
> records, Værre er dog caching modellen i 10.5's resolver også er i udu.
> Du risikerer følgende scenarie når du sender et ldap request af sted
> mod en DC. DC'ens ldapserver vil spørge efter din klients kerberos
> credentials. Din klient /bør/ bruge dns opslaget fra tidligere men
> under 10.5 laver den endnu et opslag. Hvis dette opslag er det smame
> som det første er alt ok, men du kan snildt komme ud for at opslaget
> ender på en anden DC, der svarer en lille smule hurtigere. Den først
> opslåede LDAP server venter stadig på et svar, mens din klient sender
> svaret til servren der blev slået op i anden opgang - Dvs du kan ikke
> authenticere imod jeres AD.
>
> De ovenstående fejl har eksisteret i hele betafasen og rygtes at være
> løst i 10.5.2 - jeg vil dog se det før jeg tror på det. Jeg
> installerer stadig 10.4 på alle vores klienter pga disse bugs.
>
> Grunden til at eks resolver bug'en er et stort problem på mac klienter
> er at Apples AD klient ikke bruger "Sites and Services" til at
> definere hvilke DC'ere klienten skal tale med (windows klienter bruger
> sites and services).
>
> Apples klient forlader sig på SRV records samt på at klienten poler
> samtlige DC'ere i forresten for hitte ud af hvilken der svarer
> hurtigst (og den gør det hele tiden, også når du er logget ind).
>
> Dette kan give problmer i det klienten muligvis kan pinge en
> DC'er men ikke kan få lov til at snakke med den pga routeing tabeller
> eller firewall regler. I et sådan tilfælde vil Apples klient skrive de
> hurtigst svarende DC'ere ned i edu.kerberos.mit hvorefter kerberos og
> ldap klientene på Mac OS X insisterer på at anvende dem.
>
> Man kan delvist låse Apples klient ved at deaktivere
> kerberosautoconfig (står beskrevet i en AD konfigureret
> edu.kerberos.mit fil), samt ved at angive en prefered doomaine
> controler i DirectorySetup.app. Afhængig af netværks og AD design kan
> det være en god ide.
>
> Mobile accounts anvender mcx og introducerer dermed problemstillinger
> løses med de gængse mcx værktøjer. Desværre er det endnu ikke lykkedes
> mig at finde ekvivalenter til 10,4's MCXCacher mm. under 10.5.
>
> MCXCacher -d eller -f flusher/sletter cachede computere, settings,
> grupper og brugere hvilket der undertiden er behov for når disse er
> ude er sync - Det sker med mellemrum på bærbare computere der flyttes
> ind og ud af netværket.

Alt er efterhånden samlet i dscl - ligesom med niutil.

Hvad med dscl . -mcxread / -mcxset / -mcxedit / -mcxdelete / -mcxexport
/ -mcximport / -mcxhelp? Sammen med mcxquery er der noget, der skal
udforskes. Har ikke selv haft tid til at rode med det endnu, men der er
en interessant artikel her (selv om den handler om lokale mcx
indstillinger i stedet for gennem OD):
<http://www.afp548.com/article.php?story=using-mcx-in-the-dslocal-domain>

Og vil i øvrigt som du også se med egne øjne at 10.5.2 løser AD
problematikken før jeg tror det - det er bare den ultimative Leopard
showstopper for alt andet end hjemmebrug.

--
mvh.
Thomas Tvegaard

---

Thomas Tvegaard wrote:
<et langt uredigeret klip af foregående artikel>

Ak, dårlig stil - fik ikke lige slettet det overflødige - beklager.

--
mvh.
Thomas Tvegaard

---

Thomas Tvegaard <tvegaard@*ud*gmail.com> wrote:
> Thomas Tvegaard wrote:
> <et langt uredigeret klip af foregående artikel>
>
> Ak, dårlig stil - fik ikke lige slettet det overflødige - beklager.

du er rusten.

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

Merlin Works CR-3/2.5 & Campagnolo Chorus 2007.

---

Morten Reippuert Knudsen wrote:
>
> du er rusten.
>

Tak, nu ved jeg hvor der skal sættes ind
--
mvh.
Thomas Tvegaard

---

Thomas Tvegaard <tvegaard@*ud*gmail.com> wrote:

> Alt er efterhånden samlet i dscl - ligesom med niutil.
>
> Hvad med dscl . -mcxread / -mcxset / -mcxedit / -mcxdelete / -mcxexport
> / -mcximport / -mcxhelp? Sammen med mcxquery er der noget, der skal
> udforskes.

Den har jeg set men jeg kan ikke få den til at erstatte det lokalt
cahchede ud med seneste version fra serveren i ét hug.

> Har ikke selv haft tid til at rode med det endnu, men der er
> en interessant artikel her (selv om den handler om lokale mcx
> indstillinger i stedet for gennem OD):
> <http://www.afp548.com/article.php?story=using-mcx-in-the-dslocal-domain>

Ja, den har jeg har luret på.

Mere interessant er dog
<http://www.afp548.com/article.php?story=20071210105328355>. hvor man
istedet for en gylden triangel (som er fin til stationere) kan lægge
mcx til Ad'et uden at lægge dem ind som schema ændringer. Desværrre
duer det kun med 10.5

Bruger i i øvrigt ikke ADmitmac?

> Og vil i øvrigt som du også se med egne øjne at 10.5.2 løser AD
> problematikken før jeg tror det - det er bare den ultimative Leopard
> showstopper for alt andet end hjemmebrug.

oss' i den grad.

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

Merlin Works CR-3/2.5 & Campagnolo Chorus 2007.

---

Morten Reippuert Knudsen wrote:

> Den har jeg set men jeg kan ikke få den til at erstatte det lokalt
> cahchede ud med seneste version fra serveren i ét hug.

OK - og irriterende, grrr. Så ellers så tiltalende ud.

> Mere interessant er dog
> <http://www.afp548.com/article.php?story=20071210105328355>. hvor man
> istedet for en gylden triangel (som er fin til stationere) kan lægge
> mcx til Ad'et uden at lægge dem ind som schema ændringer. Desværrre
> duer det kun med 10.5

Ja, der mange spændende ting i 10.5 som jeg godt kunne bruge, men det må
vente på at 10.5 er stabil nok og ikke kolliderer med vores infrastruktur.

> Bruger i i øvrigt ikke ADmitmac?

For dyrt - selv med edu licenser. Så for stationære er det er "god
gammel gylden trekant" - og det fungerer egl. ganske ok - med lidt
småbøvl hist og her. For bærbare er der større frihed for den enkelte
bruger - under ansvar - og det fungerer faktisk også rigtig godt uden at
belaste it-supporten ekstra.

Kommer desværre til at bruge mere tid på ASC* end Leopard de næste par
måneder.

*) Regnedrengene er gået i turbospin med statslig centralisering, så
skal vi have beskrevet i et embedsmandsvenligt sprog at det altså er
nødvendigt med en skelnen mellem administrativ og faglig it.
Uddannelsesinstitutioner er mere end departementer - se
<http://oes.dk/asc>. Den sev ikke rigtigt ind med SKI-aftalerne. Nå,
offtopic.

--
mvh.
Thomas Tvegaard

---

Thomas Tvegaard <tvegaard@*ud*gmail.com> wrote:

>> Den har jeg set men jeg kan ikke få den til at erstatte det lokalt
>> cahchede ud med seneste version fra serveren i ét hug.
>
> OK - og irriterende, grrr. Så ellers så tiltalende ud.
>
>> Mere interessant er dog
>> <http://www.afp548.com/article.php?story=20071210105328355>. hvor man
>> istedet for en gylden triangel (som er fin til stationere) kan lægge
>> mcx til Ad'et uden at lægge dem ind som schema ændringer. Desværrre
>> duer det kun med 10.5
>
> Ja, der mange spændende ting i 10.5 som jeg godt kunne bruge, men det må
> vente på at 10.5 er stabil nok og ikke kolliderer med vores infrastruktur.
>
>> Bruger i i øvrigt ikke ADmitmac?
>
> For dyrt - selv med edu licenser. Så for stationære er det er "god
> gammel gylden trekant" - og det fungerer egl. ganske ok - med lidt
> småbøvl hist og her. For bærbare er der større frihed for den enkelte
> bruger - under ansvar - og det fungerer faktisk også rigtig godt uden at
> belaste it-supporten ekstra.

ok, jeg bytter altid rundt på dig og Thomas Bjørn. Det var så ham der
for år tilbage rullede ADmitmac ud på en uddannelsesinstitution i det
jyske. Var du iøvrigt ikke engang københavner?

> Kommer desværre til at bruge mere tid på ASC* end Leopard de næste par
> måneder.
>
> *) Regnedrengene er gået i turbospin med statslig centralisering, så
> skal vi have beskrevet i et embedsmandsvenligt sprog at det altså er
> nødvendigt med en skelnen mellem administrativ og faglig it.
> Uddannelsesinstitutioner er mere end departementer - se
> <http://oes.dk/asc>. Den sev ikke rigtigt ind med SKI-aftalerne. Nå,
> offtopic.

Jeg sidder privat, ikke offenligt, så de kvaler har vi ikke.
Tilgengæld lever vi under et Sarbanes Oxley Act regime.

--
Morten Reippuert Knudsen <http://blog.reippuert.dk>

Merlin Works CR-3/2.5 & Campagnolo Chorus 2007.

---

Morten Reippuert Knudsen wrote:
> ok, jeg bytter altid rundt på dig og Thomas Bjørn. Det var så ham der
> for år tilbage rullede ADmitmac ud på en uddannelsesinstitution i det
> jyske. Var du iøvrigt ikke engang københavner?

Nu er jeg godt nok flyttet til det nordlige Amager, men det er så vidt
jeg har bemærket stadig en del af København

--
Med venlig hilsen
Thomas Tvegaard