我观察到,如果将机器添加到 Active Directory 并设置为通过 LDAP 向 Active Directory 服务器进行身份验证,则 MacOS X 10.6 会按预期在每次用户登录时请求 Kerberos TGT。
但是,此 TGT 在 Active Directory 上具有生命周期,应在到期前刷新。Windows 计算机会在到期前约 1 小时自动执行此操作,但我们网络中的 MAC 不会这样做。因此,当 MacOS 达到 TGT 生命周期的末尾时,不会发生任何事情,并且 Active Directory 服务器会相应地限制对服务的访问。
我正在寻找一种配置 MAC 以在无需用户干预的情况下进行 TGT 刷新的方法。最好解决方案是在某处进行设置或运行 cron 作业,如果这不可能,我应该安装什么软件来自动刷新 TGT?
谢谢。
更新:我发现kinit -R或者kinit -B应该刷新 TGT。当我运行它时,它似乎运行正常,klist 显示更新时间...但我在日志中看到此错误:
(com.apple.Kerberos.renew.plist[9299]): Exited with exit code: 1当然,Active Directory 服务器上什么也没有发生。