hallo serverspezialisten!
wenn ich von einem client (mac os 10.3.3) aus beim server (osx server 10.3.3) einlogge, habe ich unter optionen u.a. die möglichkeit, das passwort auf dem server zu ändern.
ich möchte diese möglichkeit ausschliessen. wie kann ich das erreichen?
den benutzer verwalten unter den systemeinstellungen/benutzer/einschränkungen auf dem server hilft nicht, das betrifft nur das anmelden direkt am server.
gruss

bei mir ist aus mir unbekannten gründen kein options-button vorhanden, es sei denn, ich bin blöd oder blind.

gibt's wohl vom angehängten pdf ein bild?

Schau mal in das Tool "Server Admin", und verbinde Dich mit dem Server. Dann unter "Open Directory", und dort die Einstellungen für die Password-Policy ...

jluetgen
wenn ich das mache, kommt der hinweis, dass ich - weil ich kein open-directory-passwort-administrator bin - diese einstellung nicht ändern kann. wenn ich dann bei meinem zugang umstellen will, kommt die selbe nachricht. wenn ich einen neuen user mache, kommt auch diese nachricht.
ich dreh mich im kreis...
was tun?

nützt leider auch nichts.

ich bin selbst kann mich als wer auch immer anmelden, das ding kann ich nicht ändern.
muss ich wohl von ganz vorne anfangen?

wäre eine echt mühsame sache...

ich hab wohl kein glück heute...

Da scheinen mehrere Konfigurationsfehler vorzuliegen:

Das Bild zeigt zum einen, dass Du im lokalen Verzeichnisknoten des Servers angemeldet bist (/NetInfo/root). Die Benutzereinträge an dieser Stelle spielen nur eine Rolle, wenn sich die Benutzer direkt am Server anmelden. Für das Anmelden an Clients im Netzwerk haben diese Benutzerkonten überhaupt keine Bedeutung und ein Client kann auch kein Kennwort ändern.

Der zweite Konfigurationsfehler ist, dass scheinbar weder der Open Directory Master, noch der Kennwortserver konfiguriert sind. Ist kein Verzeichnisdienst aufgesetzt worden?

Es ist außerdem unklar, was Du mit "einloggen" meinst. Sollen bereits angemeldete Benutzer am Client eine AFP-Verbindung mit dem Server herstellen und die authentifziert sein, oder soll der Server die Authentifzierung im Anmeldefenster der Clients leisten?

Ach so, ich sehe noch einen dritten Fehler im Bild:

Das Reverse-DNS-Lookup ist auch nicht richtig konfiguriert. Das kann zu einigen Problemen im Netzbetrieb führen.

osxnerd

ich versuch, kurz zu erklären, was ich hier eigentlich mache:

vor einigen monaten (jahren?) wurde dieser server als 10.1.x von jemandem aufgesetzt. das ziel war einzig, über afp verschiedene zugänge zu erhalten, um mehrere kurse zu bedienen. das hat eigentlich bis anhin gut geklappt, mit ausnahme dieser kennwortverändern-möglichkeit, welche aber erst unter 10.3.x so offensichtlich war, dass es ausgenutzt wurde.
nun wurde osx 10.3. server erstanden, ich hab das ganze drüber-installiert und wollte dann irgendwo diese passwortänderungsmöglichkeit ausschalten, da bin ich angestossen.
gibt es irgendwo eine anleitung, wie ich die von dir erwähnten dienste nachträglich aufsetzen/einrichten kann, so dass eventuell ein wechsel auf das open-directory-system möglich wird?
fang ich besser von vorne an (sind ja nur ein paar dutzend benutzer...)

ich fühle mich ein bisschen wie der esel vor dem berg...

Ach so, es geht also um lokale Server-Benutzer, die über eine AFP-Verbindung ihr Shadow-Kennwort ändern. Das ist was ganz ausgefallenes... Da ist mir leider keine Lösung bekannt.

Das nachträgliche Aufsetzen der Dienste ist möglich, erfordert aber einige Erfahrung und möglicherweise etwas Programmierarbeit in der Unix-Shell... Man müsste mit nidump die Benutzerkonten aus der lokalen NetInfo-Datenbank in eine Textdatei schreiben und aus der Textdatei die Systembenutzer löschen. Danach den Open Directory Master und den Kennwortserver aufsetzen und die Daten mit dsimportexport in die LDAP-Datenbank zurückladen.

ich werd wohl einfach das ganze neu beginnen...

hoffentlich hilft der installationsassistent soweit mit, dass am schluss die open-directory variante rauskommt...

erst mal ostern, dann servern...

harte eier wünsch ich allerseits!

beat

Wenn ich das richtig verstehe,ist das, was du willst, einfach eine Kiste (Server) haben, auf dem Daten lagern, die von irgendjemandem abgerufen werden. Also kein richtiges Server-Client-System, bei dem Du dich auf dem Client einwählst und alle Daten auf dem Server liegen?

Was wir haben ist ein Server-Clientsystem mit Netrestore(dazu wird NEtboot verlangt.
Am einfachsten ist es, wenn du mit z.B. mit der Software Passenger die User erfasst.
Im Workgroupmanager kannst du die User einrichten und Gruppen zusammenstellen. Du kannst auf dem Server Ordner machen und denen die Rechte der verschiedenen Gruppen verteilen. So kann jede Gruppe auf die entsprechenden Ordner zugreifen, ohne an die anderen ranzukönnen. Wenn du jeder Gruppe noch einen Briefkasten(nur Schreibrechte) und einen Verteiler (nur Leserechte) einrichtest, können sie auch Daten austauschen.

P.S. Netboot habe ich ausprobiert, war aber noch nicht so toll, um voll damit zu arbeiten (100MB Netz Kat 5) für Netrestore super.

jufri
<br>ja, du vermutest in etwa richtig.
<br>es soll in erster linie ein fileserver da sein, dessen inhalte für die verschiedenen benutzergruppen (ca. 40-maximal 500 - bei einzelzugriff) in verschiedenen hierarchien/gruppen) getrennt zur verfügung gestellt werden sollen.
<br>ausserdem sind print-server-dienste gefragt und mit zunehmender geschwindigkeit im lan soll dann irgendwann auf netboot gewechselt werden.
<br>
<br>hast du auch sowas in betrieb?

Nur so eine Idee, als root anmelden und ändern ?
<br>
<br>Gab es mal als eine "alte" Möglichkeit…