Я постараюсь быть кратким, но информативным.

В настоящее время я не могу привязать машины OSX lion (10.7.4) к нашей AD. OSX kerberos (heimdal) не может найти службу KDC.

Тем не менее, я могу связать машины Linux и Windows с AD без проблем в той же сети

AD контролирует DNS домена и все соответствующие DNS-записи _kerberos._tcp.x.domain.com и _kpasswd SRV находятся там и разрешаются нормально при попытке с компьютеров OSX. Определенные порты открыты для обслуживания и доступны вручную из OSX.

Когда я пытаюсь выполнить kinit в OSX, я могу получить первую авторизацию через (неправильные пароли сразу же перестают работать), но когда предоставляется правильный пароль, kinit завершается ошибкой после некоторого ожидания с "невозможно достичь KDC".

  • Все машины работают по NTP и имеют правильное время.
  • Во время тестирования сеть между брандмауэрами не защищена
  • У машин с Linux и Windows нет никаких проблем
  • Я пробовал с и без /etc/krb5.conf - OSX по умолчанию не нуждается
    • в krb5.conf я использовал рабочий конфиг с одной из наших машин linux.
  • Сбой dsconfigad с простым "сбой подключения к серверу каталогов"

Я немного сбит с толку этим. OSX похожа на то, что KDC нигде не найти, и в то же время мои тестовые машины с Windows 7 и некоторыми машинами Linux (Centos 6 и Debian 6) не имеют никаких проблем. Та же сеть, те же конфигурации.

Мне где-то не хватает какой-то жизненно важной конфигурации, и я не могу понять, что это.

|источник

2 ответа2

0

Спасибо за предложения, однако в итоге это привело к ошибке маршрутизации. AD имеет несколько интерфейсов для разных сетей, чтобы выполнять в них разные задачи.

Подключение из сети A к сети B, где интерфейс службы AD не будет работать, если AD также имеет интерфейс с сетью A, поскольку отслеживание подключений, по-видимому, не работает таким образом по умолчанию.

Итак, ошибка пользователя, я думаю.

|источник
0

Есть много возможностей, почему это происходит, хотя, как вы упоминали, это связано с AD. Сначала я бы попробовал несколько простых вещей, поскольку иногда не всегда очевидно, что может быть причиной проблемы.

Попробуйте заново сгенерировать файл настроек AD:

cd /Library/Preferences/DirectoryService
sudo mv ActiveDirectoryDynamicData.plist ActiveDirectoryDynamicData.plist.old
sudo killall DirectoryService

Это позволит сделать резервную копию и воссоздать настройки. Если это не сработает, проверьте, какие данные AD вы получаете из этой команды:

dscl /Active\ Directory/All\ Domains -list /Users

Наконец, вы можете получить более полное представление о причине вашей проблемы из журнала отладки:

tail –f /Library/Logs/DirectoryService/DirectoryService.debug.log | grep
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .