当用户更改 OD 密码(在 OS X 登录屏幕或系统偏好设置)时,我遇到了 50 多个工作站(10.9 和 10.10)的问题。
密码更改会在服务器上更新,但如果用户不立即重新启动工作站(以及他们拥有用户帐户的每个工作站),在接下来的几个小时内,即使用户已从机器上注销,工作站也会因数十次使用错误密码(或 Kerberos 票证,似乎)的身份验证尝试而进入 OD。当然,这会达到最大失败尝试次数,并有效地锁定用户。
如果他们重新启动每个拥有用户帐户的工作站(移动用户或之前登录过该机器的普通网络用户),这种情况就不会发生。这自然会让我们假设某种密码(或票证)缓存正在发生,但在哪里,什么?有没有什么解决方法?
更新:
我认为我已经追踪到了 KCM 的身份验证尝试。KCM 似乎每隔几分钟(实际上是每 137 秒)随机开始运行一次,前几次它返回“成功”(在 accountpolicy.log 中),然后它开始返回“身份验证策略失败”。
在这个特定实例中,“成功”响应的数量等于允许的登录失败次数。然后是“身份验证策略失败”响应。所以这似乎是相关的。我需要再发生一次失败才能确定。
所以我现在的问题是:
是什么让 KCM 首先开始运行(在某些情况下,超过 12 小时没有运行)?为什么 KCM 会触发锁定?