Hallo,

anmelden per SMB geht, per AFP nicht. Da ja UB2 wohl noch mehrere Monate dauern wird ... (man hätte sich die Softwarewartung sparen können, Update ist wohl bei so langen Releasezyklen einzeln zu bezahlen, günstiger ;-)) hoffe ich, dass es ein Update für UB+ geben wird? Oder habe ich hier einen Konfigurationsfehler? Hat jemand eine Idee?

Gruß Daniel

Eine Idee hab ich nicht aber wenn es dich beruhigt, bei ExtremeZ-IP geht es auch nicht mit dem letzten Stable Release. SMB geht aber auch hier. Group Logic hat ein Update für Juli angekündigt und bereits einen Beta Patch zu testen herausgebracht. Scheint also nicht ausschließlich ein Konfigurationsproblem zu sein, da hat sich wohl wieder mal was an der AFP-Implementierung geändert...

HTH Tom

Moin!

Der UB2 Preview geht auch mit Lion.
Den kann man sich bei HELIOS herunterladen. Mehr dazu unter http://www.helios.de/...view.html?lang_id=de.

Gruß,

GreatOm

Ja das ist mir klar, die bietet ja auch die offizielle Client-Unterstützung. Es ist aber nicht zuviel verlangt, wenn Helios für UB+ noch einen neuen afpsrv herausbringt ... Ich glaube, wenn Sie das nicht tun werden, werden noch mehr das Helios in Produktions-Umgebungen abschalten, sorry :-)

Hallo,

Antwort auf [ Daniel Richter ]

Ja das ist mir klar, die bietet ja auch die offizielle Client-Unterstützung. Es ist aber nicht zuviel verlangt, wenn Helios für UB+ noch einen neuen afpsrv herausbringt ... Ich glaube, wenn Sie das nicht tun werden, werden noch mehr das Helios in Produktions-Umgebungen abschalten, sorry :-)

Das denke ich auch. Ist aber wohl auch so seitens Helios gewollt. Zumindest ist das nicht zuletzt angesichts der Preisstruktur die Interpretation des Gros unserer Kunden, die Helios als reinen Datei- und Printserver einsetzen bzw. mittlerweile eher eingesetzt haben.

Zum Thema 10.7 und AFP-Server. Daß das nicht klappt, hat einen ganz simplen Hintergrund: Authentifizierung.

Beim Anmelden an einen AFP-Server vergleicht Apples AFP-Client die seitens Server unterstützten UAMs (User Authentication Method/Module) mit seinen eigenen und wählt die jeweils stärkste aus.

Ein UB+ bietet folgende UAMs an:

     Cleartxt passwrd,Randnum exchange,2-Way Randnum exchange,DHCAST128

Ein UB2 wird Folgendes anbieten:

     Cleartxt passwrd,Randnum exchange,2-Way Randnum exchange,DHCAST128,DHX2

Ich hab die Unterschiede der verschiedenen UAMs vor Jahren mal hier http://netatalk.sourceforge.net/2.2/htmldocs/configuration.html#id3999135 in tabellarische Form gebracht (leider nur englisch).

Wo ist jetzt das Problem? Daß Apple mit 10.7 entschieden hat, daß "DHCAST128" ebenso wie die anderen noch schwächeren Authentifizierungsmethoden auf die schwarze Liste gekommen sind. D.h. der AFP-Client beim Anmelden alle diese Methoden verwirft.

Kann man ihm aber abgewöhnen, indem man dafür sorgt, daß die entsprechende schwarze Liste um den "DHCAST128"-Eintrag bereinigt wird. Das geht bspw. so, wie in diesem Beitrag hier beschrieben: http://t.co/K6gZ8Sd.

Dort wird dafür gesorgt, daß /Library/Preferences/ beschreibbar gemacht wird, dann eine Dummy-PropertyList /Library/Preferences/com.apple.AppleShareClient.plist angelegt wird, die dann durch das erste Mounten eines "DHX2"-fähigen AFP-Shares mit den defaults gefüllt wird, die so aussehen:

Code

bash-3.2# defaults read /Library/Preferences/com.apple.AppleShareClient 
{ 
    "afp_active_timeout" = 0; 
    "afp_allow_submounts" = 1; 
    "afp_allow_system_uams" = 0; 
    "afp_allow_user_uams" = 0; 
    "afp_debug_level" = 5; 
    "afp_debug_syslog" = 1; 
    "afp_disabled_uams" =     ( 
        "Cleartxt Passwrd", 
        "MS2.0", 
        "2-Way Randnum exchange", 
        DHCAST128 
    ); 
    "afp_forceKerberosOnly" = 0; 
    "afp_host_prefs_version" = 15; 
    "afp_idle_timeout" = 0; 
    "afp_immutable_dirs" = 1; 
    "afp_maxDirCache" = 60; 
    "afp_maxFileCache" = 60; 
    "afp_maxIOToleranceMSecs" = 0; 
    "afp_maxQuantumNbr" = 0; 
    "afp_maxQuantumSize" = 0; 
    "afp_maxSingleIOToleranceMSecs" = 0; 
    "afp_minDirCache" = 5; 
    "afp_minFileCache" = 5; 
    "afp_minIOToleranceMSecs" = 0; 
    "afp_minQuantumNbr" = 0; 
    "afp_minQuantumSize" = 0; 
    "afp_minSingleIOToleranceMSecs" = 0; 
    "afp_mount_defaultFlags" = 0; 
    "afp_no_caseSensitiveVols" = 0; 
    "afp_no_kQueues" = 0; 
    "afp_no_volChange_caching" = 1; 
    "afp_prefer_IPv4" = 1; 
    "afp_reconnect_allow" = 1; 
    "afp_reconnect_interval" = 10; 
    "afp_reconnect_max_time" = 600; 
    "afp_softautomount_vols" = 0; 
    "afp_softmount_vols" = 0; 
    "afp_wan_quantum" = 0; 
    "afp_wan_threshold" = 0; 
} 

Spannend ist hier eben das Array namens afp_disabled_uams, in dem die ab 10.7 verpönten UAMs gelistet werden. Und mittels des folgenden Befehls wird "DHCAST128" dann von der Liste der verbotenen Authentifizierungsmethoden genommen:

Code

sudo defaults write /Library/Preferences/com.apple.AppleShareClient afp_disabled_uams -array "Cleartxt Passwrd" "MS2.0" "2-Way Randnum exchange" 

Dann klappt's auch wieder mit UB+ (gilt so auch für andere AFP-Server, die kein DHX2 oder Kerberos können). Aber man muß im Hinterkopf haben, daß beim Einsatz von 10.7 gegen uralte AFP-Server gerne noch das ein oder andere Problem aufpoppt, dito, daß man von einigen feinen Neuerungen, die moderne AFP-Server haben, nicht profitieren kann (als Beispiel der Spotlight-Server in UB2, der das Applesche Original Dank der smarten XMP-Unterstützung um Längen schlägt)

Gruss,

Thomas

Das klappt super, DANKE für die Ausarbeitung!

Moin.

Eine Frage: funzt 10.7 mit der aktuellen Netatalk-Version 2.2-beta4? Meines Wissens unterstützt Netatalk ja DH, oder?

Möchte mich auch bedanken für diesen Workarround inkl Erklärung!
Funzt einwandfrei!

Hallo,

die gezeigte Vorgehensweise funktioniert leider nicht unter 10.7.2 gegen einen Helios UB+ (CD23) Server.

Gibt es noch einen bekannten Workaround?

Danke!

Hallo, der Workaround hat bei mir unter 10.8.2 nicht funktioniert. Man kann aber einfach die Datei com.apple.AppleShareClient von einem 10.7er System kopieren.
VG
Rupfi