El usuario del servidor Mac OS X no puede cambiar la contraseña

Question

El usuario del servidor Mac OS X no puede cambiar la contraseña

#1 de Kent (2 votos)
#2 de Tony Williams (1 votos)

1

Tengo usuarios no administradores que necesitan cambiar su contraseña. El comando passwd está aparentemente limitado a los administradores.

En el sitio web del servidor, hay un enlace para cambiar la contraseña, pero no funciona y los usuarios reciben un error. Internamente, Mac OS X registra el siguiente mensaje:

Jan 21 01:56:02 domain.com collabd[247]: [CSAuthService.m:506 ab93000 +206ms] Could not change password for user 1234 with error Error Domain=com.apple.OpenDirectory Code=4001 "Operation was denied because the current credentials do not have the appropriate privileges." UserInfo=0x1234567890abc {NSLocalizedDescription=Operation was denied because the current credentials do not have the appropriate privileges., NSLocalizedFailureReason=Operation was denied because the current credentials do not have the appropriate privileges.}

Tengo la opción en el servicio del sitio web verificada para permitir el cambio de contraseñas. ¿Qué estaría causando este error?

EDITAR: los usuarios creados con la aplicación Servidor están bien, pero el problema es que los usuarios creados con dscl en la línea de comandos . Estos son los comandos exactos utilizados para crear un usuario de prueba llamado "qwer":

sudo dscl . create /Users/qwer UniqueID 507
sudo dscl . create /Users/qwer PrimaryGroupID 20
sudo dscl . create /Users/qwer UserShell /bin/bash
sudo dscl . create /Users/qwer NFSHomeDirectory /Users/qwer
sudo mkdir /Users/qwer
sudo chown qwer:staff /Users/qwer
sudo passwd qwer

Luego ejecuté sudo dscl . read /Users/qwer y lo comparé con sudo dscl . read /Users/uiop para un segundo usuario de prueba.

En los registros, las siguientes claves son únicas para el usuario creado con la aplicación Servidor:

dsAttrTypeNative:_writers_hint
dsAttrTypeNative:_writers_jpegphoto
dsAttrTypeNative:_writers_passwd
dsAttrTypeNative:_writers_picture
dsAttrTypeNative:_writers_realname
dsAttrTypeNative:_writers_UserCertificate
LastName
RealName

Estos coinciden:

AppleMetaNodeLocation
PasswordPolicyOptions
PrimaryGroupID
RecordType
UserShell

Y estos son únicos para cada usuario (o en el caso de la Contraseña están ofuscados):

dsAttrTypeNative:KerberosKeys
dsAttrTypeNative:ShadowHashData
AuthenticationAuthority
GeneratedUID
GeneratedUID
NFSHomeDirectory
RecordName
UniqueID
Password

Revisé AuthenticationAuthority pero lo único diferente es el nombre de usuario en la cadena, por lo que también podría considerarse equivalente.

Además, groups qwer y groups uiop dan exactamente la misma salida.

No parece haber nada que impida que "qwer" cambie su contraseña, excepto por el hecho de que su cuenta de usuario se creó en la línea de comandos; sin embargo, el método dscl debería ser perfectamente válido.

password user-account osx-server

pregunta Justin Mrkva 21.01.2014 - 08:12

2 respuestas

1

Primero, el comando passwd no requiere ningún acceso de administrador para cambiar su propia contraseña.

Creo que tienes un problema con el certificado. Eche un vistazo en el panel Certificate de la aplicación Servidor y verifique que todos sus certificados sigan siendo válidos y que no haya ninguna advertencia sobre un servicio que no utilice un certificado en el panel inferior. Parece que al servidor web no se le permite cambiar la contraseña por alguna razón.

También puede ir a /Library/Server/Wiki/Config y ejecutar plutil en todos los archivos plist para asegurarse de que no haya nada demasiado incorrecto allí. También comprobaría que todos los permisos de archivo parecen sanos.

¿Recibes el mismo error tanto para usuarios estándar como para usuarios de administración? ¿Puede un usuario administrador ingresar correctamente en Profile Manager ?

respondido por el Tony Williams 21.01.2014 - 10:24

Lea otras preguntas en las etiquetas password user-account osx-server

Reflejando iPhone 5 a MacBook Pro sin Airplay Cómo conectar hardware USB a un MBP a través de un monitor externo

score 2 · Accepted Answer

De acuerdo con este artículo anterior (¡10.3!), la falta de una propiedad _writers_password en la base de datos NetInfo evitaría que los usuarios cambien su contraseña. Eso es realmente obsoleto, pero parece un lugar razonable para comenzar.

enlace

(Editar)

De otras fuentes (desde " Ejecutar Mac OS X Tiger " página 136) parece que _writers_passwd es una lista de usuarios que pueden cambiar la contraseña de ese usuario en particular. Por lo tanto, establecerlo con el nombre de usuario debería ser suficiente.