У меня есть 3 сервера Mac OS X, все привязанные к AD, все настроены в настройке Golden Triangle. Все 3 полностью отделены друг от друга с точки зрения служб, но все они находятся в одной внутренней сети и все привязаны к одному домену Active Directory. Два - 10.5.x (последние обновления) и один - 10.6.3.
В минувшие выходные все трое одновременно перестали предоставлять пользователям Active Directory доступ к определенным службам, в частности, к AFP и SSH. SMB по-прежнему отлично работает на всех 3. Я спросил администратора AD, изменилось ли что-нибудь, и он сказал: «Да, мы внесли изменения в учетные записи пользователей, чтобы повысить безопасность», и предложил мне использовать username@fullyqualified.domain.name вместо простого имя пользователя. Это все еще не сработало.
Я полностью удалил один из своих серверов из AD и снова присоединился, но это тоже не сработало. Я могу выполнить kinit из командной строки и получить билет Kerberos. sudo klist -ke показывает, что все службы настроены на использование правильных принципов Kerberos.
Я искал в журналах любую полезную информацию. Журнал AFP просто показывает, что я подключаюсь и отключаюсь. DirectoryService.log показывает информацию о неправильно настроенных хэшах Kerberos, но мои исследования показывают, что это не редкость. /var/log/system.log не показывает ничего полезного, что я вижу.
Я не уверен, что делать дальше. Любая помощь / идеи приветствуются.
Оказалось, что это настройка безопасности относительно керберос на стороне AD. Сделал настройку менее строгой, и все в порядке.