Eu tenho um mestre do Open Directory em uma máquina chamada "minime" (El Capitan, Server 5). Além disso, tenho um servidor Samba "complicado", rodando Ubuntu e um cliente Mac OS X "wallace".
Quero que os usuários do Wallace acessem arquivos de forma complicada enquanto são autenticados via Kerberos no Minime. Os usuários são todos usuários do Open Directory, portanto, teoricamente, todos deveriam receber tickets de concessão de tickets do minime ao fazer login no Wallace.
Anteriormente, eu tinha uma configuração funcional, a única mudança era que o minime era um Raspberry Pi que fornecia tickets Kerberos, bem como serviços de diretório via OpenLDAP. Substituí o minime por um servidor Mac OS X.
Agora estou tentando colocar essa configuração em funcionamento novamente, mas estou tendo problemas.
Os usuários do Wallace podem fazer login, mas não podem acessar arquivos no Tricky. Ao fazer login, eles recebem um ticket de concessão de ingresso. Ao tentar acessar arquivos de forma complicada, uma caixa de login aparece. O acesso de convidado mostrará os compartilhamentos disponíveis, então o Samba está ativo. No entanto, o Finder não autenticará corretamente com o usuário conectado. Ao selecionar explicitamente "conectar como" e digitar o nome de usuário e a senha atuais, o ticket que concede o ticket é destruído e o acesso não é permitido.
Não vejo nada registrado nos arquivos de log do Samba. Eu ficaria feliz em receber dicas.
Responder1
Eu encontrei uma solução para este problema. O ponto crítico é que usar kadmin no OS X Server não é suficiente para criar um principal de serviço válido que possa ser exportado via keytab e usado em um servidor diferente.
OS X Server requer o uso do comando "krbservicesetup". Embora a página de manual afirme que ela só pode/deve ser usada para configurar serviços locais, funcionou com sucesso para criar um keytab para o Samba em uma máquina diferente.
Veja a página de manual e a discussão no fórum de discussão da Apple aqui: