У меня есть 3 сервера Mac OS X, все привязаны к AD, все настроены в установке Golden Triangle. Все 3 полностью отделены друг от друга с точки зрения служб, но все находятся в одной внутренней сети и привязаны к одному домену Active Directory. Два из них 10.5.x (последние обновления) и один 10.6.3.
На прошлых выходных все 3 одновременно прекратили разрешать пользователям Active Directory доступ к определенным службам, в частности AFP и SSH. SMB по-прежнему отлично работает на всех 3. Я спросил администратора AD, изменилось ли что-нибудь, и он сказал: «Да, мы внесли изменения в учетные записи пользователей, чтобы усилить безопасность», и предложил мне использовать[email protected]вместо просто имени пользователя. Это все равно не сработало.
Я полностью удалил один из своих серверов из AD и снова присоединился, но это тоже не сработало. Я могу выполнить kinit из командной строки и получить билет Kerberos. sudo klist -ke показывает, что все службы настроены на использование правильных принципов Kerberos.
Я просматривал журналы в поисках полезной информации. Журнал AFP просто показывает, что я подключаюсь и отключаюсь. DirectoryService.log показывает информацию о неправильно настроенных хэшах Kerberos, но мои исследования показывают, что это не редкость. /var/log/system.log не показывает ничего полезного, насколько я могу судить.
Я не уверен, куда идти дальше. Любая помощь/идеи приветствуются.
решение1
Оказалось, что это настройка безопасности, касающаяся kerberos на стороне AD. Сделал настройку немного менее ограничительной, и все стало ОК.