Dlaczego żaden konkretny użytkownik nie może zalogować się do domeny w mojej sieci?

3

Jeden konkretny użytkownik nie może zalogować się do żadnego z komputerów Apple PC lub laptopów w mojej sieci. Maszyny pracują w systemie Snow Leopard. Inni użytkownicy mogą się zalogować i uwierzytelnić. Gdy ten użytkownik próbuje się zalogować, po kilku sekundach ekran trzęsie się, jakby hasło było błędne. Co powoduje ten problem i jak go rozwiązać?

Wayne-Z
źródło
Co mówią dzienniki? Czy może uwierzytelnić się przy użyciu tego hasła w innym miejscu? Na przykład, jeśli ktoś inny zaloguje się do GUI, czy możesz użyć „uszkodzonego” konta do uwierzytelnienia / zamontowania serwera plików AFP uwierzytelniającego się na tym samym serwerze? Jaki jest twój serwer uwierzytelniania? OD? OGŁOSZENIE? Jeśli OD, czy hasło „złamanego” konta jest takie samo jak konta robocze?
Spiff

Odpowiedzi:

4

Okno logowania nie daje wiele wskazówek, dlaczego użytkownik nie może się zalogować - potrząsa „głową”, ale nie mówi dlaczego. Czasami można znaleźć coś w pliku system.log (przeglądać go za pomocą narzędzia Konsola) na temat problemu, ale generalnie nie.

Moje standardowe podejście do zawężania, skąd pochodzą takie błędy, polega na ręcznym testowaniu krytycznych części logowania sieciowego (wyszukiwanie informacji o użytkowniku, uwierzytelnianie i montowanie katalogu domowego) i sprawdzanie błędów informacyjnych:

Zaloguj się jako użytkownik lokalny ( nie użytkownik sieci) na komputerze klienckim i otwórz narzędzie Terminal.

Uruchom komendę id suchandso (gdzie „suchand” to krótka nazwa użytkownika sieciowego). Powinien odpowiedzieć w następujący sposób: „uid = 1025 (taki i tak), gid = 20 (personel)” itd. Jeśli zamiast tego odpowiada „id: suchandso: nie ma takiego użytkownika”, albo masz niewłaściwą nazwę użytkownika, albo klient ma problemy z wyszukiwaniem informacji o użytkowniku na serwerze przez LDAP. (Uwaga: gdyby to był problem w twoim przypadku, prawdopodobnie wszyscy użytkownicy zawaliliby, nie tylko jednego. Sprawdź na wszelki wypadek.)

W rzeczywistości istnieją dwa różne tryby uwierzytelniania i należy je przetestować. Najpierw sprawdź uwierzytelnianie w stylu serwera haseł za pomocą polecenia su suchandso (po pojawieniu się monitu następuje hasło użytkownika - zauważ, że nie będzie ono echo podczas pisania). Może pojawić się komunikat o błędzie, nawet jeśli się powiedzie (np. Coś o nieznalezieniu folderu domowego), więc użyj whoami polecenie, aby sprawdzić, czy teraz działasz jako „suchandso” - jeśli jesteś, działa uwierzytelnianie oparte na PS (i powinieneś użyć exit polecenie powrotu do normalnego stanu przed kontynuowaniem).

Następnie spróbuj uzyskać bilet uwierzytelniania sieciowego (Kerberos) za pomocą polecenia kinit suchandso (po wyświetleniu monitu następuje hasło użytkownika). Jeśli to zadziała, to po prostu powróci z innym poleceniem powłoki. Jeśli coś pójdzie nie tak, generalnie otrzymasz komunikat o błędzie informujący o tym, jaki jest problem (np. Jeśli mówi: „Logowanie do Kerberos nie powiodło się: przekrzywienie zegara za duże”, oznacza to, że zegar klienta jest zbyt daleko zsynchronizowany z serwerem i jedna lub obie z nich muszą zostać poprawione).

Jeśli kinit podaje komunikat „Hasło niepoprawne” (pomimo tego samego hasła, dla którego działa su ), co sugeruje, że bazy danych haseł serwera są niezsynchronizowane i należy zresetować hasło użytkownika, aby zmusić je do ponownego uzgodnienia. Korzystanie z polecenia passwd suchandso jest prawdopodobnie najlepszym sposobem, aby to zrobić (zresetowanie w Menedżerze grup roboczych nie zawsze to naprawi).

Jeśli to działa, użyj funkcji Finder Connect to Server (Command-K), aby spróbować połączyć się z serwerem; wprowadź pełną nazwę domeny serwera w polu Adres serwera. Nie należy pytać o nazwę i hasło (uwierzytelnianie Kerberos powinno być automatyczne po kinit dowództwo; jeśli nie, coś jest nie tak z konfiguracją Kerberos usługi plików). Powinieneś otrzymać okno dialogowe „Wybierz woluminy do zamontowania”, w tym folder Użytkownicy (lub dowolny folder, w którym znajdują się twoje domy użytkownika). Zauważ, że rzeczywisty folder macierzysty użytkownika również zostanie wyświetlony, ale to nie jest to, czego chcesz; zamiast tego wybierz folder „Użytkownicy”. Jeśli folder Użytkownicy nie znajduje się na liście lub wystąpił błąd podczas próby jego zamontowania, spróbuj go rozwiązać.

Jeśli żaden z nich nie pokazuje żadnego problemu, masz coś bardziej niejasnego. Inną rzeczą do wypróbowania jest upewnienie się, że ustawienia katalogu domowego użytkownika są poprawnie skonfigurowane: użyj WGM, aby przełączyć folder domowy użytkownika na „(Brak)”, zapisz, a następnie ustaw go ponownie i zapisz ponownie.

Gordon Davisson
źródło
PAN! Jesteś świętym !!! - Uruchomiłem komendę „id suchandso”. Splunęła ona z powrotem grupy, w których był użytkownik. -I uruchomiła komendę „su suchandso” ... chciała uzyskać kredyty sieciowe, a po ich wprowadzeniu zachęta roota -i została wprowadzona polecenie kinit .. i powiedziało mi, że błąd był z folderem domowym lub czymś ... i poprosił o kredyty. po tych poleceniach zauważyłem, że konto użytkownika ponownie pojawiło się na liście kont. Które z tych poleceń dodałoby użytkownika z powrotem do listy ...? Jestem bardzo wdzięczny za twoją pomoc.
Wayne-Z
@ Wayne-Z: której listy kont brakowało użytkownika?
Gordon Davisson
Hej Gordon. Jego konto w ogóle nie było na liście użytkowników. Jedno z tych poleceń, które uruchomiłem, dodało go do listy ..
Wayne-Z