当用户更改密码时,如何让 Kerberos 刷新凭证缓存?

当用户更改密码时,如何让 Kerberos 刷新凭证缓存?

使用 Open Directory(从 10.8)升级到 OS X 10.10 客户端和服务器后,我们遇到了一个有趣的新问题。

当用户更改密码时(使用“系统偏好设置”或在登录屏幕上),Kerberos 凭证似乎不会刷新/刷新/更新。因此,当它们过期时,尝试更新它们(10 小时后)会触发我们的最大失败尝试次数限制并锁定用户。

我可以看到千厘米守护进程在 10 小时后运行,最终导致锁定。

我可以看到使用清单更改密码不会更新凭证。

此外,缓存的凭据(在 7 天的窗口内)似乎导致了此问题任何用户使用过的机器(我们的用户经常四处走动)。因此,这不仅仅是发布销毁在密码更改的机器上。

知道这里发生什么事了吗?

为什么 OD 以前能够保持目录中所有机器上的所有内容同步?

我是否只需要禁用凭据缓存?这不是 10.9 之前的问题吗?

相关内容