1 votos

Jorge avatar

Los usuarios de LDAP en Catalina no pueden iniciar sesión - Error CRAM-MD5 en opendirectoryd

Preguntado el 5 de Abril, 2020
Cuando se hizo la pregunta
397 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Estoy usando Catalina 10.15.4 OSX como cliente y FreeBSD 12-1 con openldap-sasl-server-2.4.48_1 como servidor Openldap. He configurado el servidor LDAP usando Direct Utility.

  • Puedo ver los usuarios LDAP en la pestaña del Editor de Directorios;
  • Puedo usar "id usuario" en la terminal mostrando el usuario, sus grupos, etc;
  • Puedo usar "dscl localhost -read /Search/Users/user" que muestra toda la información del usuario;
  • Puedo usar "dscacheutil -q usuario -a nombre usuario" que muestra toda la información del usuario;
  • Puedo cambiar a Root en la terminal y luego "su - user" y funciona (he creado el directorio de inicio y mapeado a #/Users/$uid$;
  • PERO NO PUEDO entrar con el usuario.

Todos los usuarios de la red están habilitados para iniciar sesión. He intentado usar "ssh user@localhost" y en la ventana de inicio de sesión. No funciona.

Configurando la depuración con "odutil set log debug" y echando un vistazo a los registros de la consola:

opendirectoryd  failed CRAM-MD5 authentication for authzid - '<private>' authcid - '<private>' error 49
opendirectoryd  ODRecordVerifyPassword failed with result ODErrorCredentialsInvalid
opendirectoryd  nw_path_evaluator_start [78C31F06-08D0-4EF9-B584-EB41028A814D IPv6#0d17d740.389 generic, local: IPv6#ef0057ec.49455, indefinite]
    path: unsatisfied (No network route)

En el servidor, el CRAM-MD5 está disponible.

supportedSASLMechanisms: SCRAM-SHA-1
supportedSASLMechanisms: SCRAM-SHA-256
supportedSASLMechanisms: DIGEST-MD5
supportedSASLMechanisms: CRAM-MD5
supportedSASLMechanisms: NTLM

¿Qué está fallando? ¿Cómo utilizar usuarios LDAP en OSX?

-

Hay algunos tutoriales en Internet sobre la edición de un archivo de configuración del directorio (plist). Sin embargo, esto ha funcionado en versiones posteriores de OSX. Por ejemplo:

/usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/yourldapserver.plist 
/usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/yourldapserver.plist
/usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/yourldapserver.plist
/usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/yourldapserver.plist

En Catalina ya no podemos editar este archivo (yourldapserver.plist). He intentado utilizar otra herramienta, valores predeterminados pero el archivo sólo puede ser alterado si lo copiamos a otro lugar. En la ubicación normal del sistema no podemos editar para probar estas configuraciones.

Preguntado el 5 de Abril, 2020 por Jorge

Respuesta

¿Demasiados anuncios?

3voto

EThome avatar
EThome Puntos 31

¿Te funciona si intentas editar el archivo plist indirectamente con odutil, de la siguiente manera?

odutil set configuration /LDAPv3/foo.example.com module ldap option "Denied SASL Methods" CRAM-MD5 DIGEST-MD5 LOGIN PLAIN NTLM
Respondido el 3 de Mayo, 2020 por EThome (31 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X