[10.8 Mountain Lion] OD + Netzwerk-Login

[HyteRaph]

Hey Leute,

ich möchte in unserem Büro gerne folgendes einrichten:

An jedem beliebigen Mac soll sich jeder Benutzer mit seinem "Serveraccount" anmelden und dann direkt seine persönlichen Daten synchronisieren. Also ich stell mir das so vor, dass der jeweilige Mac an sich praktisch keine Nutzerdaten mehr speichert, sondern alle direkt mit dem Server synchronisiert werden.

Ich teste zur Zeit mit einem Macbook, bekomme es aber nicht wirklich hin. Bisher habe ich unter "Benutzer & Gruppen" - "Anmeldeinformationen" den Netzwerkaccount-Server angegeben (mit grünem Punkt versehen). Dadurch meldet er sich im Netzwerk immerhin schonmal direkt am Server an, sodass man direkt auf die Freigaben zugreifen kann.

Aber wie muss ich (den Client) konfigurieren, damit alle Daten meinen Vorstellungen entsprechend auf dem Server liegen und damit auch synchron gehalten werden? (Schreibtisch, Dokumente usw.)

PS: Ich habe auch schon einge Zeit gegoogelt und vieles durchgelesen, aber irgendwie finde ich keine geeigneten Tutorials/Hilfen. Falls jemand einen passenden Link parat hat würde ich mich natürlich sehr freuen. Ansonsten hoffe ich ihr könnt mir ein wenig weiterhelfen.


MFG

 

[stk]

a) das Benutzerkonto muss auf dem Server angelegt sein
b) das Userverzeichnis des Servers wird im Netzwerk freigegeben
c) es darf (sollte) keinen lokalen User gleichen Namens geben
d) bei erfolgreichem Login wird der Benutzerordner des Servers an den Client ausgeliefert
e) der Sonderfall eines mobilen Useraccounts (lokale Kopie auf dem Client) ist zuletzt zu konfigurieren

 

[HyteRaph]

Hi Stephan,
- also die Benutzerkonten liegen alle auf dem Server
- das Userverzeichnis ist für die erforderliche Gruppe für Lesen/Schreiben freigegeben

Und zu den lokalen Benutzern:
Auf dem Server sind nur "lokale Netzwerkbenutzer" angelegt. Und zur Zeit sind auf den restlichen Macs halt noch seperate Accounts. An dem MacBook (zum Testen) habe ich zur Zeit einen Nutzer angelegt, welcher die selben Anmeldedaten, wie der entsprechende auf dem Server besitzt. Wenn ich keinen entsprechenden Benutzer auf dem Clientrechner angelegt habe und versuche mich im Anmeldefenster mit einem Account, der auf dem Server angelegt ist, anzumelden, kommt ein Fehler.

Habe ich evtl. wichtige Einstellungen übersehen?

PS: Der aussagekräftige Fehler besagt:
Sie können sich derzeit nicht mit dem Benutzertnamen xxx anmelden.
Die Anmeldung mit diesem Benutzernamen ist aufgrund eines Fehler fehlgeschlagen.

 

[osx_nerd]

Das Userverzeichnis Lesen / Schreiben alleine reicht da nicht .... in den Freigabeeinstellungen als Homefolder über AFP aktivieren

 

[HyteRaph]

Entschuldigt, dass ich mich so doof anstelle, aber iwas muss ich noch vergessen/übersehen haben.

-Auf dem Server habe ich die Benutzer als "lokale Netzwerknutzer" angelegt.
-Open Directory und DNS laufen normal.
-Neben den restlichen Freigaben ist der "User" Ordner für die relevante Gruppe freigegeben und die Haken sind bei "Für Mac Clients freigegeben(afp)" und "Bereitstellen für Benutzerordner über AFP" gesetzt.
-Für die Benutzer ist als Benutzerordner der Users Ordner zugeteilt. (alternative wäre "nur Lokal")
-Natürlich ist auch der Haken bei "Benutzer kann sich anmelden" gesetzt.

Viel mehr habe ich diesbezüglich in der Serverapp nicht gefunden.

Am Client habe ich jetzt eigentlich nur den OD Server angegeben.

Wenn ich mich jetzt am Client mit einem beliebigen Netzwerknutzer anmelden möchte, bekomme ich den oben genannten Fehler.
Bisher kann ich also nur am Client einen Nutzer anlegen, welcher die Netzwerkfreigaben automatisch einbindet. Aber das ist ja nicht das, was ich gerne erreichen möchte.

Ich hoffe ihr habt noch nen Hinweis parat.


Grüße

 

[HyteRaph]

Nach mehrmaligem testweisen Entfernen und Neuerstellen des Netzwerkaccount-Servers am Client kann ich mich nun immerhin über das Macbook auf einen Netzwerkaccount einloggen.
(Hierfür musste ich unter Anderem den Benutzerordner auf "lokal" stellen) ...

Nun synct er aber noch nicht die Daten zwischen Client und dem Users Verzeichnis auf dem Server. Außerdem muss man sich sogar noch für die Netzwerkfreigaben neu einloggen (obwohl selber accoundname/pw Zugriff ermöglichen würde).

Wie lasse ich die Daten nun automatisch syncen und wie lasse ich den Client automatisch so anmelden, dass er sofort auf die Freigaben zugreifen kann?


Grüße

 

[stk]

der lokale User und der Netzwerkuser des Servers sind zwei verschiedene Paar Schuhe - die syncen nicht. Siehe mein 1. Posting.

 

[HyteRaph]

am client gibt es nur einen user (admin).
ich kann mich jedoch mit jedem Netzwerknutzer am client anmelden. also er bezieht die logindaten schon vom server. dennoch bleiben die dateien nur auf dem client gespeichert bzw. er läd gar keine dateien vom server.

außerdem kommt eine meldung dass das Users Verzeichnis nicht gefunden werden konnte.

 

[stk]

- das Userverzeichnis ist für die erforderliche Gruppe für Lesen/Schreiben freigegeben

Das Userverzeichnis (/Users) muss für alle RW (777) sein, damit es an den Clients vor der Authentifizierung durch den Benutzer eingehangen werden kann. Die spezifischen Rechte kommen ja über die HomeDirs (/Users/kurzname) zustande.

 

[osx_nerd]

Am Client das OD gebunden ? also nicht nur das OD angegeben, sonder fest gebunden (Bind)

 

[osx_nerd]

Hier nochmal ein Screenshot wie es am Client aussehen sollte / muss ....

 

[HyteRaph]

Besten Dank für die bisherige Hilfe!

@stk:
Das Users Verzeichnis habe ich nun für jeden RW freigegeben. Die jeweiligen Unterordner(kurznamen der User) sind weiterhin nur für den jeweiligen User freigegeben.

@osx_nerd:
Der Client ist scheinbar eingebunden. Zumindest ist der Haken gesetzt bei "In das Verzeichnis eingebunden als". Den einzigen Unterschied, den ich feststellen kann, ist der Haken für die SSL Verschlüsselung. Wenn ich SSL aktivieren möchte, erkennt er den Netzwerkaccount-Server nicht mehr bzw. die Lampe switcht auf rot.

Also: Users Ordner für alle RW freigegeben und am Client ist scheinbar der OD eingebunden.
Klappen tut es leider immer noch nicht. Mit diesen Einstellungen kann ich mich auch nicht mehr am Client mit einem Netzwerkaccount anmelden.


PS: Entschuldigt meine riesen Pausen zwischen den Posts, aber ich bin immer nur wenige Tage in der Firma.

 

[HyteRaph]

Ich habe gerade auf Klick vom FileSyncAgent gelesen und dass er bei 10.8 standartmäßig deaktiviert ist.
Das aktivieren hilft mir gerade auch noch nicht weiter.

//edit:

Ich habe nun mal noch die server.app in der Firewall freigegeben. Folgendes erscheint im OD-Kennwortdienst-Serverprotokoll:

Apr 23 2013 16:50:06 677401us RSAVALIDATE: success.
Apr 23 2013 16:50:06 687062us AUTH2: {0xXXXXXXXXXXXXXXXXXX, UserX} DIGEST-MD5 authentication succeeded.
Apr 23 2013 16:50:06 729273us GETPOLICY: user {0xXXXXXXXXXXXXXXXXXX, UserX}.
Apr 23 2013 16:50:06 799549us GETPOLICY: user {0xXXXXXXXXXXXXXXXXXX, UserX}.
Apr 23 2013 16:50:06 829539us GETPOLICY: user {0xXXXXXXXXXXXXXXXXXX, UserX}.
Apr 23 2013 16:50:06 849259us GETPOLICY: user {0xXXXXXXXXXXXXXXXXXX, UserX}.
Apr 23 2013 16:50:07 132530us GETPOLICY: user {0xXXXXXXXXXXXXXXXXXX, UserX}.
Apr 23 2013 16:50:07 199419us GETPOLICY: user {0xXXXXXXXXXXXXXXXXXX, UserX}.
Apr 23 2013 16:50:07 232857us GETPOLICY: user {0xXXXXXXXXXXXXXXXXXX, beispiel.host.private$}.
Apr 23 2013 16:50:07 238869us GETPOLICY: user {0xXXXXXXXXXXXXXXXXXX, UserX}.

Die anderen OD-Protokolle bringen keine neuen Nachrichten beim Client-Login-Versuch.

 

[HyteRaph]

SOOO

Es läuft gerade auf meinem Testclient!! Im Endeffekt habe ich der Firewall die Server.app hinzugefügt und diesen FileSyncAgent aktiviert. Anbei noch den Testuser gelöscht/neuerstellt, weil ich im Arbeitsgruppenmanager das Homeverzeichnis hin-und-her getestet habe.

Nunja woran es nun im Detail gelegen hat kann ich nicht sagen.

Ich danke euch auf jeden Fall für eure Mühen!


//edit:

Den FileSyncAgent ist NICHT notwendig!

 

[huber99]

Hi osx_nerd
was muss man bei Sicherheit "Zugriff auf Verzeichnisse" für einen Namen und Passwort eingeben?
Ist dies der Rechnername? Wenn ja, welche Passwort?

Danke
Sepp

 

[osx_nerd]

Den Verzeichnis Admin samt dessen Passwort.... Wurde beim OD anlegen festgelegt