Temos um novo problema divertido após a atualização para o cliente e servidor do OS X 10.10 com o Open Directory (a partir de 10.8).
Quando um usuário altera sua senha (usando Preferências do Sistema ou na tela de Login), parece que as credenciais do Kerberos não são atualizadas / atualizadas / atualizadas. Então, quando eles expiram, tentar renová-los (após 10 horas) aciona nosso limite máximo de tentativas mal-sucedidas e bloqueia o usuário.
Eu posso ver que o daemon kcm é o que está sendo executado após 10 horas e que, por fim, leva ao bloqueio.
Eu posso ver usando klist que uma alteração de senha não atualiza a credencial.
E, além disso, as credenciais em cache (dentro da janela de 7 dias) parecem estar causando isso em qualquer máquina que o usuário tenha usado (nossos usuários se movimentam muito). Portanto, não seria apenas uma questão de emitir kdestroy na máquina onde a senha é alterada.
Alguma idéia do que está acontecendo aqui?
Por que o OD conseguiu manter tudo sincronizado em todas as máquinas no diretório antes?
Eu só preciso desativar o cache de credenciais? Isso não foi um problema antes de 10.9?