Ik probeer AD te integreren in Mac OS X voor zo'n 50 clients. Het probleem waar ik mee loop is dat ik niet lokaal als admin word bezien. In Mac OS X's AD plugin heb je een instelling welke groepen er mogen lokaal admin zijn en dat werkt maar niet met de groep die ik wil.
In AD staat er nu de groep macadmin. Daar ben ik volgens de configuratieschermen (Windows 2003) in de groep macadmin (Group -> Members) sta ik in het lijstje net geconfigureerd zoals bij de andere groep waar het wel voor werkt.
Als ik nu via OS X authenticeer dan gaat dat goed, ik browse doorheen de trees (Users, Groups, Computers etc.) zonder probleem. Ik vraag dan op bij Groups wat er allemaal instaat geconfigureerd voor macadmins (read DOMAIN\\macadmin) en daar staat mijn username niet bij. Er is een andere (meer algemene) groep waar ik ook toebehoor en daar staat mijn username wel bij.
De relevante output van dscl voor "read DOMAIN\\macadmin":
De relevante output van dscl voor de groep "DOMAIN\\1500" (er is degelijk in geknipt, is een telefoongroep):
Aan de documentatie te zien gebruikt Mac OS X gewoon LDAP om de domain server te ondervragen en ik kan inloggen enzo, alleen mijn rechten worden niet toegewezen omdat ik niet in de groep zit volgens LDAP. Ik kan de computer joinen, ik heb daar rechten voor en als ik dus de groep 1500 toewijs dan werkt het wel maar daar zitten iets te veel mensen in om gezond te zijn ;-)
Ik weet niet waarom in de domein wel degelijk staat geconfigureerd dat ik member ben van de groep maar dat dit niet via LDAP wordt doorgegeven.
Synchronisatie zou geen probleem mogen zijn, het is al meer dan 5 dagen geconfigureerd over 8 domain controllers en ik gebruik een "preferred" domain controller.
Heeft iemand nog ideeen waar het aan zou kunnen liggen? De boel rebooten gaat niet zomaar - er is een reden dat er 8 domain controllers nodig zijn ;-) - behalve dan mijn Mac client, wat ik al geprobeerd heb.
In AD staat er nu de groep macadmin. Daar ben ik volgens de configuratieschermen (Windows 2003) in de groep macadmin (Group -> Members) sta ik in het lijstje net geconfigureerd zoals bij de andere groep waar het wel voor werkt.
Als ik nu via OS X authenticeer dan gaat dat goed, ik browse doorheen de trees (Users, Groups, Computers etc.) zonder probleem. Ik vraag dan op bij Groups wat er allemaal instaat geconfigureerd voor macadmins (read DOMAIN\\macadmin) en daar staat mijn username niet bij. Er is een andere (meer algemene) groep waar ik ook toebehoor en daar staat mijn username wel bij.
De relevante output van dscl voor "read DOMAIN\\macadmin":
code:
1
2
| GroupMembership: DOMAIN\domain admins Member: DOMAIN\domain admins |
De relevante output van dscl voor de groep "DOMAIN\\1500" (er is degelijk in geknipt, is een telefoongroep):
code:
1
2
| Member: DOMAIN\Evi Guru GroupMembership: DOMAIN\Evi Guru |
Aan de documentatie te zien gebruikt Mac OS X gewoon LDAP om de domain server te ondervragen en ik kan inloggen enzo, alleen mijn rechten worden niet toegewezen omdat ik niet in de groep zit volgens LDAP. Ik kan de computer joinen, ik heb daar rechten voor en als ik dus de groep 1500 toewijs dan werkt het wel maar daar zitten iets te veel mensen in om gezond te zijn ;-)
Ik weet niet waarom in de domein wel degelijk staat geconfigureerd dat ik member ben van de groep maar dat dit niet via LDAP wordt doorgegeven.
Synchronisatie zou geen probleem mogen zijn, het is al meer dan 5 dagen geconfigureerd over 8 domain controllers en ik gebruik een "preferred" domain controller.
Heeft iemand nog ideeen waar het aan zou kunnen liggen? De boel rebooten gaat niet zomaar - er is een reden dat er 8 domain controllers nodig zijn ;-) - behalve dan mijn Mac client, wat ik al geprobeerd heb.
Pandora FMS - Open Source Monitoring - pandorafms.org
:strip_exif()/u/24090/hekje.gif?f=community)