У меня есть мастер Open Directory на машине под названием «minime» (El Capitan, Server 5). Кроме того, у меня есть сервер Samba "хитрый", работающий под управлением Ubuntu и клиент Mac OS X "wallace".
Я хочу, чтобы пользователи на Wallace могли получить доступ к файлам с трудом при аутентификации через Kerberos в minime. Все пользователи являются пользователями Open Directory, поэтому теоретически все они должны получать билеты на выдачу билетов из minime при входе в систему на Wallace.
Ранее у меня была рабочая конфигурация, единственное изменение состояло в том, что minime был Raspberry Pi, предоставляющим билеты Kerberos, а также службы каталогов через OpenLDAP. Я заменил minime на сервер Mac OS X.
Сейчас я снова пытаюсь привести эту конфигурацию в рабочее состояние, но у меня возникают проблемы.
Пользователи из Wallace могут войти в систему, но не могут получить доступ к файлам в сложных условиях. После входа в систему они получают билет на выдачу билетов. При попытке получить доступ к файлам по хитрости появляется окно входа в систему. В гостевом доступе будут показаны доступные общие ресурсы, значит, Samba работает. Однако Finder не сможет правильно аутентифицироваться для вошедшего в систему пользователя. При явном выборе «подключиться как» и вводе текущего имени пользователя и пароля билет на выдачу билета уничтожается, и доступ не разрешается.
Я не вижу ничего зарегистрированного в файлах журнала Samba. Буду рад указателям.
Я нашел решение этой проблемы. Критическим моментом является то, что использования kadmin на OS X Server недостаточно для создания действительного участника-службы, который можно экспортировать с помощью keytab и использовать на другом сервере.
OS X Server требует использования команды «krbservicesetup». Несмотря на то, что на странице руководства указано, что ее можно / следует использовать только для настройки локальных служб, она успешно сработала для создания ключевой таблицы для Samba на другом компьютере.
См. Справочную страницу и обсуждение на дискуссионном форуме Apple здесь: