Kerberos quebrado ao atualizar o Snow Leopard Server para o Mountain Lion

2

Eu trabalho para uma pequena empresa onde não há administrador de sistema dedicado. Fui encarregado de atualizar nosso servidor de arquivos e calendário para o 10.8, o que fiz ao atualizar o sistema operacional e depois instalar as ferramentas do servidor na loja de aplicativos (conforme recomendado pela Apple).

O Kerberos não está funcionando corretamente. O servidor tem um monte de usuários de rede armazenados no Open Directory. Quando tento compartilhar a tela do servidor, que usa o Kerberos nos bastidores para autenticar, sou informado de uma senha inválida.

Inicialmente, estava falhando em Got a canonicalize request for a LKDC realm from local-ipc e afirmando que não foi possível encontrar um domínio LKDC. Eu segui estas instruções para regenerar o LKDC no servidor:

  • Repetir sudo rm -rf / var / db / krb5kdc
  • sudo rm -rf /etc/krb5.keytab
  • Abra o Acesso às Chaves e procure por 'kdc' e, em seguida, exclua os 3 itens com.apple.kerberos.kdc.
  • Execute o comando para reinstalar o sudo / usr / libexec / configureLocalKDC do LKDC, que não é destrutivo, portanto, pode ser executado novamente sem atrapalhar nada.
  • Re Vincular o cliente ao servidor.

Depois disso, o log do sistema informa isso quando tento fazer login no compartilhamento de tela de outro Mac:

kdc[48]: AS-REQ amy@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA from fe80::cabc:c8ff:fec5:4b93%en0:53175 for krbtgt/LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA
kdc[48]: UNKNOWN -- amy@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA: no such entry found in hdb
screensharingd[582]: Authentication: FAILED :: User Name: amy :: Viewer Address: 192.168.1.44 :: Type: DH

O seguinte está no log do opendirectoryd, que parece suspeito:

38.938 - Client: opendirectoryd, UID: 0, EUID: 0, GID: 0, EGID: 0
38.938, Module: AppleODClientLDAP - unable to create LDAP connection context - no server specified
38.938 - Client: opendirectoryd, UID: 0, EUID: 0, GID: 0, EGID: 0
38.938, Module: AppleODClientLDAP - unable to open connection to LDAP server - unable to create connection context

Também na inicialização do log do sistema, estou recebendo

servermgrd[107]: servermgr_accounts: got error 5000 trying to auth to local LDAP node

Se eu chamar o kinit no terminal, ele pede a minha senha e depois a valida (ela me diz se está incorreta). Nesse momento recebo este log (substituí o domínio da nossa empresa por OURCOMPANY, mas está acertando):

kdc[48]: AS-REQ [email protected] from 127.0.0.1:59175 for krbtgt/[email protected]
kernel[0]: Sandbox: kcm(690) deny mach-lookup com.apple.networkd
kdc[48]: UNKNOWN -- [email protected]: no such entry found in hdb
kinit[693]: krb5_sendto_context is called on main thread, its a blocking api

Editar:

Se eu tentar kinit , obtenho agora:

kinit
[email protected]'s Password: 
kinit: krb5_get_init_creds: Client ([email protected]) unknown

Alguém pode sugerir como faço com que o Kerberos, o Open Directory e o LDAP se comuniquem novamente?

    
por Amy Worrall 29.11.2012 / 13:27

1 resposta

2

A atualização do Snow Leopard para o Mountain Lion é complicada e melhor e catastrófica na pior das hipóteses. Com os problemas que você encontrou, eu recomendaria a criação de um novo ML a partir do zero e a transferência de serviços.

Restaurar a partir de um backup de máquina do tempo em um servidor geralmente funciona muito bem.

    
por 01.07.2013 / 08:03