Estou tendo um problema com mais de 50 estações de trabalho (10.9 e 10.10) quando um usuário altera sua senha do OD (na tela de login do OS X ou nas Preferências do Sistema).
A alteração de senha é atualizada no servidor, mas se o usuário não reiniciar imediatamente suas estações de trabalho (e todas as estações de trabalho em que eles têm uma conta de usuário), em algum momento nas próximas horas, a estação de trabalho atingirá o OD com dúzias de tentativas de autenticação com uma senha incorreta (ou ticket Kerberos, aparentemente), mesmo que estejam desconectadas da máquina. E, claro, isso atinge as tentativas máximas e bloqueia efetivamente o usuário.
Se eles reiniciarem todas as estações de trabalho nas quais eles têm uma conta de usuário (usuário móvel ou apenas um usuário de rede comum que tenha efetuado login anteriormente nessa máquina) isso não ocorrerá. Naturalmente, isso nos leva a supor que algum tipo de cache da senha (ou ticket) está acontecendo, mas onde, o que? Existem soluções alternativas para isso?
Atualização:
Acredito que tracei as tentativas de autenticação para o KCM. Aparentemente aleatoriamente, o KCM começa a rodar a cada poucos minutos (na verdade, a cada 137 segundos) e nas primeiras vezes ele retorna "Sucesso" (no accountpolicy.log) e, em seguida, começa a retornar "Política de falha de autenticação".
Nesta instância específica, a quantidade de respostas "Sucesso" é igual à quantidade de tentativas de login com falha permitidas. Em seguida, vêm as respostas "Política de falha na autenticação". Então parece relacionado. Eu precisarei fazer outra falha acontecer para ter certeza.
Então, minha pergunta agora é:
O que faz o KCM começar a funcionar em primeiro lugar (depois de mais de 12 horas, em alguns casos, de não ser executado)? E por que o KCM está acionando o bloqueio?