Une astuce, en guise de pense-bête… pour les administrateurs utilisant un serveur Mac avec des comptes mobiles.
La configuration :
- Un server Max OS X 10.6.8, utilisé avec OpenDirectory configuré pour bloquer un compte utilisateur après x tentatives de connexion erronées,
- Des clients Mac configurés en compte mobile, avec synchronisation du répertoire Home.
Le problème :
Quand un utilisateur, par erreur, bloque l’accès à son compte (en tappant x+1 fois sont couple login+password avec erreur), le fait de débloquer le compte dans le gestionnaire de groupe de travail (WorkGroup Manager) ne suffit pas à lui réouvrir l’accès depuis la machine qui a été utilisée pour bloquer le compte.
La solution :
- Changer de machine (euh … ça peut coûter cher) ?
- Réinstaller tout le système et relancer la création d’un compte mobile (ou comment enfoncer un clou avec un marteau piqueur) ?
Et bien, j’avoue que j’ai un peu tourné en rond avant de solliciter les bonnes âmes de la liste de diffusion admin-ml (http://coruscant.mosx.org/mailman/listinfo/admin-ml).
Au final, voici la procédure :
- Sur le WorkGroup Manager du serveur : modifier le mot de passe de l’utilisateur en type “Mot de passe chiffré” > Enregistrer > Quitter puis ré-ouvrir WorkGroup Manager > Modifier le compte en “Mot de passe OpenDirectory” > Enregistrer
- Sur le poste client, ouvrir une session avec un compte administrateur local, puis allez dans Préférences > Comptes puis ré-enregistrer le mot de passe de l’utilisateur.
- Si cela bloque encore, sur le poste client, ouvrir une session avec un compte administrateur local, puis allez dans Préférences > Comptes et vérifier que les ouvertures de session réseau soient autorisées pour tous les utilisateurs.
- Si cela bloque tujours, sur le poste client, ouvrir une session avec un compte administrateur local puis avec votre terminal ou en SSH :
sudo dscl . -delete /Users/loginuser
Cette commande supprime l’utilisateur sans supprimer les données en local.
- Ouvrez à nouveau le compte bloqué … et tout roule !