私は「minime」(El Capitan、Server 5) というマシンに Open Directory マスターを持っています。さらに、Ubuntu と Mac OS X クライアント「wallace」を実行している Samba サーバー「tricky」も持っています。
私は、wallace のユーザーが、minime で Kerberos を介して認証されている間に tricky のファイルにアクセスできるようにしたいと考えています。ユーザーは全員 Open Directory ユーザーなので、理論的には、wallace にログインするときに全員が minime からチケット許可チケットを取得するはずです。
以前は正常に動作する構成がありましたが、唯一の変更点は minime が Kerberos チケットと OpenLDAP 経由のディレクトリ サービスを提供する Raspberry Pi になったことです。私は minime を Mac OS X サーバーに置き換えました。
現在、その構成を再び動作状態にしようとしていますが、問題が発生しています。
wallace のユーザーはログインできますが、tricky のファイルにはアクセスできません。ログインすると、チケット許可チケットを受け取ります。tricky のファイルにアクセスしようとすると、ログイン ボックスが表示されます。ゲスト アクセスでは利用可能な共有が表示されるので、Samba は起動しています。ただし、Finder はログインしたユーザーに対して正しく認証しません。明示的に「接続」を選択し、現在のユーザー名とパスワードを入力すると、チケット許可チケットが破棄され、アクセスは許可されません。
Samba ログ ファイルに何も記録されていません。ご指摘いただければ幸いです。
答え1
この問題の解決策を見つけました。重要な点は、OS X Server で kadmin を使用するだけでは、keytab 経由でエクスポートして別のサーバーで使用できる有効なサービス プリンシパルを作成するのに十分ではないということです。
OS X Server では、コマンド「krbservicesetup」を使用する必要があります。マニュアル ページには、このコマンドはローカル サービスのセットアップにのみ使用できると記載されていますが、別のマシンで Samba のキータブを作成することはできました。
こちらのマニュアルページと Apple のディスカッション フォーラムでの議論を参照してください: