我有 3 台 Mac OS X 服务器,均已绑定到 AD,均在 Golden Triangle 设置中进行配置。这 3 台服务器在服务方面完全独立,但都位于同一个内部网络中,并且都已绑定到同一个 Active Directory 域。其中两台是 10.5.x(最新更新),一台是 10.6.3。
上周末,这 3 个服务器同时停止允许 Active Directory 用户访问某些服务,特别是 AFP 和 SSH。SMB 在这 3 个服务器上仍然运行良好。我问 AD 管理员是否有任何变化,他说“是的,我们对用户帐户进行了更改以加强安全性”,并建议我使用[电子邮件保护]而不仅仅是用户名。这仍然不起作用。
我已经将我的一台服务器从 AD 中完全移除,然后重新加入,但这也不起作用。我可以从命令行执行 kinit 并获取 Kerberos 票证。sudo klist -ke 显示所有服务都配置为使用正确的 Kerberos 原则。
我一直在搜索日志以查找任何有用的信息。AFP 日志仅显示我正在连接和断开连接。DirectoryService.log 显示有关错误配置的 Kerberos 哈希的信息,但我的研究表明这并不罕见。/var/log/system.log 没有显示任何我能看到的有用信息。
我不知道接下来该怎么做。如有任何帮助/想法,我将不胜感激。
答案1
原来这是 AD 端有关 kerberos 的安全设置。将设置稍微放宽一些,一切就都正常了。