После обновления клиента и сервера OS X 10.10 с помощью Open Directory (с 10.8) у нас появилась новая забавная проблема.
Когда пользователь меняет свой пароль (используя Системные настройки или на экране входа в систему), кажется, что учетные данные Kerberos не обновляются / сбрасываются / обновляются. Поэтому, когда они истекают, попытка обновить их (через 10 часов) срабатывает ограничение максимального количества неудачных попыток и блокирует пользователя.
Я вижу, что тыс. куб. м демон - это то, что запускается через 10 часов, что в конечном итоге приводит к блокировке.
Я вижу использование klist что изменение пароля не приводит к обновлению учетных данных.
И, кроме того, кешированные учетные данные (в течение 7-дневного окна), похоже, вызывают это на любой машина, которую использовал пользователь (наши пользователи много перемещаются). Так что дело не только в выпуске kdestroy на машине, где меняется пароль.
Есть идеи, что здесь происходит?
Почему раньше OD могла синхронизировать все на всех машинах в каталоге?
Мне просто нужно отключить кеш учетных данных? Разве это не было проблемой до 10.9?