Ich habe 3 Mac OS X-Server, die alle an AD gebunden sind und alle im Golden Triangle-Setup konfiguriert sind. Alle 3 sind in Bezug auf die Dienste vollständig voneinander getrennt, befinden sich jedoch alle im selben internen Netzwerk und sind alle an dieselbe Active Directory-Domäne gebunden. Zwei sind 10.5.x (neueste Updates) und einer ist 10.6.3.
Letztes Wochenende haben alle 3 gleichzeitig den Zugriff von Active Directory-Benutzern auf bestimmte Dienste, insbesondere AFP und SSH, gestoppt. SMB funktioniert auf allen 3 immer noch einwandfrei. Ich habe den AD-Administrator gefragt, ob sich etwas geändert hat, und er sagte: „Ja, wir haben eine Änderung an den Benutzerkonten vorgenommen, um die Sicherheit zu erhöhen“, und schlug vor, dass ich[email geschützt]statt nur Benutzername. Das hat trotzdem nicht funktioniert.
Ich habe einen meiner Server vollständig aus AD entfernt und erneut hinzugefügt, aber das hat auch nicht funktioniert. Ich kann kinit von der Befehlszeile aus ausführen und ein Kerberos-Ticket erhalten. sudo klist -ke zeigt, dass alle Dienste so konfiguriert sind, dass sie die richtigen Kerberos-Prinzipien verwenden.
Ich habe die Protokolle nach nützlichen Informationen durchsucht. Das AFP-Protokoll zeigt nur, dass ich eine Verbindung herstelle und die Verbindung trenne. Das DirectoryService.log zeigt Dinge über falsch konfigurierte Kerberos-Hashes, aber meine Recherchen zeigen, dass das nicht ungewöhnlich ist. /var/log/system.log zeigt nichts Nützliches, soweit ich sehen kann.
Ich bin nicht sicher, wie ich von hier aus weitermachen soll. Jede Hilfe/Idee ist willkommen.
Antwort1
Dies stellte sich als eine Sicherheitseinstellung bezüglich Kerberos auf der AD-Seite heraus. Ich habe die Einstellung etwas weniger restriktiv gemacht und alles war in Ordnung.