У меня проблема с более чем 50 рабочими станциями (10.9 и 10.10), когда пользователь меняет свой пароль OD (либо на экране входа в OS X, либо в системных настройках).
Изменение пароля обновляется на сервере, но если пользователь не перезапускает сразу свои рабочие станции (и каждую рабочую станцию, на которой у них есть учетная запись), в какой-то момент в ближайшие часы рабочая станция ударит OD с десятками попыток аутентификации с неправильный пароль (или билет Kerberos, по-видимому), даже если они вышли из системы. И, конечно же, это приводит к максимальному количеству неудачных попыток и эффективно блокирует пользователя.
Если они перезапустят каждую рабочую станцию, на которой у них есть учетная запись пользователя (мобильный пользователь или просто обычный сетевой пользователь, который ранее входил в систему на этой машине), этого не произойдет. Естественно, это заставляет нас предположить, что происходит какое-то кеширование пароля (или билета), но где, что? Есть ли обходные пути для этого?
Обновить:
Я считаю, что отследил попытки авторизации до KCM. Казалось бы, случайным образом KCM запускается каждые несколько минут (фактически каждые 137 секунд) и первые несколько раз он возвращает «Успех» (в accountpolicy.log), а затем начинает возвращать «Неудачную политику аутентификации».
В этом конкретном случае количество ответов «Успех» равно количеству разрешенных неудачных попыток входа в систему. Затем идут ответы «Неудачная политика аутентификации». Кажется, это связано. Для уверенности мне понадобится еще одна неудача.
Итак, мой вопрос:
Что в первую очередь заставляет KCM начать работать (в некоторых случаях после 12+ часов простоя)? И почему KCM запускает локаут?