Проблемы OSX Kerberos Active directory

постараюсь быть кратким, но информативным.

в настоящее время я не могу привязать OSX lion (10.7.4) к нашему объявлению.
OSX kerberos (heimdal)не удается найти службу KDC.

однако я могу привязать linux & Windows машины к объявлению без каких-либо проблем
в той же сети

AD контролирует домен DNS и все соответствующие _kerberos._tcp.x.domain.com и _kpasswd
SRV-записи DNS-записи есть и решать нормально, когда попытался из машины на OSX. Определенные порты открыты для обслуживания и доступны вручную из OSX.

когда я пытаюсь kinit в OSX, я могу получить первую аутентификацию через (неправильные пароли терпят неудачу мгновенно), но когда поставляется с правильным паролем, kinit терпит неудачу после некоторого ожидания с
"невозможно связаться с KDC".

  • все машины запускают NTP и имеют правильное время.
  • во время тестирования сеть не устанавливается между машин
  • Linux и Windows машин нет проблем вообще
  • Я пробовал с /etc/krb5 и без него.conf-OSX по умолчанию не нужен
    • в krb5.conf я использовал рабочую конфигурацию с одной из наших машин linux.
  • dsconfigad не с простой "сбой подключения к серверу каталогов"

Я немного озадачен этим. OSX, как KDC, нигде не найден, и в то же время мои тестовые машины с windows 7 и некоторыми linux (centos 6 и debian 6) машины нет никаких проблем. Та же сеть, те же конфигурации.

Мне не хватает какой-то важной части конфигурации где-то, и я не могу узнать, что это такое.

12
задан Temotodochi
25.01.2023 1:18 Количество просмотров материала 2916
Распечатать страницу

2 ответа

есть много возможностей для того, почему это происходит, хотя это, кажется, объявление связано, как вы упомянули. Сначала я попробовал бы несколько простых вещей, так как иногда не всегда очевидно, что на самом деле может быть причиной проблемы.

попробуйте заново сгенерировать файл настроек рекламы:

cd /Library/Preferences/DirectoryService
sudo mv ActiveDirectoryDynamicData.plist ActiveDirectoryDynamicData.plist.old
sudo killall DirectoryService

, что будет резервное копирование и воссоздание предпочтений. Если это не сработает, проверьте, какую информацию о рекламе вы получаете от этой команды:

dscl /Active\ Directory/All\ Domains -list /Users

наконец, вы можете получить гораздо лучшее представление о причине вашей проблемы из журнала отладки:

tail –f /Library/Logs/DirectoryService/DirectoryService.debug.log | grep 
0
отвечен Joe Habadas 2023-01-26 09:06

Спасибо за предложения, однако в итоге это привело к ошибке маршрутизации. AD имеет несколько интерфейсов к различным сетям для выполнения различных задач в них.

подключение из сети а в сеть Б, где интерфейс рекламного сервиса не будет работать, если объявление также имеет интерфейс к сети а, так как отслеживание соединения, по-видимому, не работает таким образом по умолчанию.

Итак, ошибка пользователя, я думаю.

0
отвечен Temotodochi 2023-01-26 11:23

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх