OSX 10.9 Serveur: problème dans le reset des mots de passe OD par Gestionnaire de groupe de travail

{0 Comments}

Description du problème:

tous les comptes d’administration du répertoire OpenDirectory hormis le premier crée, n’arrivent plus à effectuer des opérations d’administration sur les autres comptes.
Le message d’erreur suivant est présenté lors d’une tentative de changement de mot de passe:

erreurWGMIn order to set the password of a a user with an Open Directory Password, your own password type must be Open Directory. Administrators with other password types cannot set the password of a user with an Open Directory password.

 

Explication:

Une de dernières mises à jour de sécurité a changé le comportement du système de délégation des droits d’administration OD, provoquant ainsi l’exclusion de ces comptes.
Ces derniers n’ont plus la permission d’effectuer des opérations sur les mots de passe bien que ces dernières apparaissent comme ayant « toutes les permissions » dans le Gestionnaire de groupes de travail.
En effet, le fichier d’historique slapd.log à différence du message affiché par ce logiciel, explique clairement que l’utilisateur en question est (désormais) un non-admin:

passwd_extop: non-admin user uid=admindir2,cn=users,dc=serveur,dc=lab,dc=test denied attempt to change password for uid=usertest,cn=users,dc=serveur,dc=lab,dc=test

Il est, donc, probable que puisque les dernières versions d’OSX ne prévoient plus la possibilité d’utiliser le « Gestionnaire de Groupe de travail » (et les MCX), Apple a simplement « oublié » de rétablir les mécanismes de sécurité pour la délégation des permissions diradmin.

Solution de contournement:

S’il s’agit de gérer uniquement les mots de passe, utiliser l’application Server.app (les comptes d’administration locaux ont désormais la faculté d’effectuer cette opération par ce biais)

Solution:

Envoyer cette ligne commande pour chaque compte d’administration du répertoire OD nécessitant le correctif

 sudo pwpolicy -n /LDAPv3/127.0.0.1 -a diradmin -u diradmin2 -setpolicy isAdminUser=1

là ou diradmin est le premier compte d’administration, inséré lors de la création du répertoire et diradmin2 est le compte a rétablir.

Leave a Comment

Your email address will not be published.

*