У меня есть мастер Open Directory на машине под названием "minime" (El Capitan, Server 5). У меня также есть сервер Samba "tricky", работающий под управлением Ubuntu, и клиент Mac OS X "wallace".
Я хочу, чтобы пользователи на wallace имели доступ к файлам на tricky, будучи аутентифицированными через Kerberos на minime. Все пользователи являются пользователями Open Directory, поэтому теоретически они все должны получить билеты на выдачу билетов от minime при входе на wallace.
Раньше у меня была рабочая конфигурация, единственным изменением было то, что minime был Raspberry Pi, предоставляющим билеты Kerberos, а также службы каталогов через OpenLDAP. Я заменил minime на сервер Mac OS X.
Сейчас я пытаюсь снова привести эту конфигурацию в рабочее состояние, но у меня возникают проблемы.
Пользователи из wallace могут войти в систему, но не могут получить доступ к файлам на tricky. После входа они получают билет на выдачу билетов. При попытке доступа к файлам на tricky появляется окно входа. Гостевой доступ покажет доступные общие ресурсы, поэтому Samba включена. Однако Finder не будет правильно аутентифицироваться с вошедшим в систему пользователем. При явном выборе «подключиться как» и вводе текущего имени пользователя и пароля билет на выдачу билетов уничтожается, и доступ не разрешается.
Я не вижу ничего, что было бы записано в файлах журнала Samba. Буду рад, если мне подскажут.
решение1
Я нашел решение этой проблемы. Критический момент в том, что использование kadmin на OS X Server недостаточно для создания действительного принципала службы, который можно экспортировать через keytab и использовать на другом сервере.
OS X Server требует использования команды "krbservicesetup". Несмотря на то, что на странице руководства указано, что ее можно/нужно использовать только для настройки локальных служб, она успешно сработала для создания keytab для Samba на другой машине.
См. страницу руководства и обсуждение на форуме Apple здесь: