Назад | Перейти на главную страницу

Kerberos сломан при обновлении Snow Leopard Server до Mountain Lion

Я работаю в небольшой компании, где нет специального системного администратора. Мне было поручено обновить наш файловый и календарный сервер до версии 10.8, что я сделал, обновив ОС, а затем установив серверные инструменты из магазина приложений (как рекомендовано Apple).

Kerberos не работает должным образом. На сервере есть группа сетевых пользователей, хранящихся в Open Directory. Когда я пытаюсь показать общий доступ к серверу, который негласно использует Kerberos для аутентификации, я получаю сообщение о недопустимом пароле.

Первоначально он не работал Got a canonicalize request for a LKDC realm from local-ipc, и заявив, что не может найти область LKDC. Я выполнил следующие инструкции, чтобы восстановить LKDC на сервере:

После этого в системном журнале указывается это, когда я пытаюсь войти в систему для совместного использования экрана с другого Mac:

kdc[48]: AS-REQ amy@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA from fe80::cabc:c8ff:fec5:4b93%en0:53175 for krbtgt/LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA
kdc[48]: UNKNOWN -- amy@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA: no such entry found in hdb
screensharingd[582]: Authentication: FAILED :: User Name: amy :: Viewer Address: 192.168.1.44 :: Type: DH

Следующее находится в журнале opendirectoryd, что выглядит подозрительно:

38.938 - Client: opendirectoryd, UID: 0, EUID: 0, GID: 0, EGID: 0
38.938, Module: AppleODClientLDAP - unable to create LDAP connection context - no server specified
38.938 - Client: opendirectoryd, UID: 0, EUID: 0, GID: 0, EGID: 0
38.938, Module: AppleODClientLDAP - unable to open connection to LDAP server - unable to create connection context

Также при запуске в системном журнале получаю

servermgrd[107]: servermgr_accounts: got error 5000 trying to auth to local LDAP node

Если я позвоню kinit в терминале он запрашивает мой пароль, а затем проверяет его (сообщает мне, неверен ли он). В этот момент я получаю этот журнал (я заменил домен нашей компании на OURCOMPANY, но он все понял):

kdc[48]: AS-REQ amy@OWL.OURCOMPANY.COM from 127.0.0.1:59175 for krbtgt/OWL.OURCOMPANY.COM@OWL.OURCOMPANY.COM
kernel[0]: Sandbox: kcm(690) deny mach-lookup com.apple.networkd
kdc[48]: UNKNOWN -- amy@OWL.OURCOMPANY.COM: no such entry found in hdb
kinit[693]: krb5_sendto_context is called on main thread, its a blocking api

Редактировать:

Если я попробую kinit теперь я получаю:

kinit
amy@OWL.OURCOMPANY.COM's Password: 
kinit: krb5_get_init_creds: Client (amy@OWL.OURCOMPANY.COM) unknown

Может ли кто-нибудь подсказать, как мне снова заставить Kerberos, Open Directory и LDAP разговаривать вместе?

Обновление от Snow Leopard до Mountain Lion - дело непростое, лучшее, а в худшем - катастрофическое. С проблемами, с которыми вы столкнулись, я бы рекомендовал создать новый ML с нуля и перенести службы.

Восстановление из резервной копии машины времени на сервере обычно отлично работает.