web-dev-qa-db-ja.com

Snow LeopardServerをMountainLionにアップグレードするときにKerberosが壊れました

私は専任のシステム管理者がいない小さな会社で働いています。私はファイルとカレンダーサーバーを10.8にアップグレードするという任務を負いました。これは、OSをアップグレードしてから、アプリストアからサーバーツールをインストールすることで行いました(Appleが推奨)。

Kerberosが正しく機能していません。サーバーには、OpenDirectoryに保存されている多数のネットワークユーザーがいます。認証にバックグラウンドでKerberosを使用するサーバーを画面共有しようとすると、無効なパスワードが通知されます。

当初はGot a canonicalize request for a LKDC realm from local-ipcで失敗し、LKDCレルムが見つからないと述べていました。次の手順に従って、サーバー上でLKDCを再生成しました。

  • Sudo rm -rf/var/db/krb5kdcを繰り返します
  • Sudo rm -rf /etc/krb5.keytab
  • キーチェーンアクセスを開き、「kdc」を検索してから、3つのcom.Apple.kerberos.kdcアイテムを削除します。
  • コマンドを実行してLKDCSudo/usr/libexec/configureLocalKDCを再インストールします。これは非破壊であるため、何も混乱させることなく再実行できます。
  • クライアントをサーバーに再バインドします。

その後、別のMacから画面共有にログインしようとすると、システムログに次のように表示されます。

kdc[48]: AS-REQ amy@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA from fe80::cabc:c8ff:fec5:4b93%en0:53175 for krbtgt/LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA
kdc[48]: UNKNOWN -- amy@LKDC:SHA1.3489A33F133BAF273138432326E52616444378EA: no such entry found in hdb
screensharingd[582]: Authentication: FAILED :: User Name: amy :: Viewer Address: 192.168.1.44 :: Type: DH

以下はopendirectorydログにあり、疑わしいようです。

38.938 - Client: opendirectoryd, UID: 0, EUID: 0, GID: 0, EGID: 0
38.938, Module: AppleODClientLDAP - unable to create LDAP connection context - no server specified
38.938 - Client: opendirectoryd, UID: 0, EUID: 0, GID: 0, EGID: 0
38.938, Module: AppleODClientLDAP - unable to open connection to LDAP server - unable to create connection context

また、システムログの起動時に、

servermgrd[107]: servermgr_accounts: got error 5000 trying to auth to local LDAP node

ターミナルでkinitを呼び出すと、パスワードの入力を求められ、検証されます(パスワードが正しくないかどうかが通知されます)。その時点で、このログを取得します(会社のドメインをOURCOMPANYに置き換えましたが、正しく取得しています):

kdc[48]: AS-REQ [email protected] from 127.0.0.1:59175 for krbtgt/[email protected]
kernel[0]: Sandbox: kcm(690) deny mach-lookup com.Apple.networkd
kdc[48]: UNKNOWN -- [email protected]: no such entry found in hdb
kinit[693]: krb5_sendto_context is called on main thread, its a blocking api

編集:

kinitを試してみると、次のようになります。

kinit
[email protected]'s Password: 
kinit: krb5_get_init_creds: Client ([email protected]) unknown

Kerberos、Open Directory、およびLDAPをすべて再び対話させる方法を誰かが提案できますか?

2
Amy Worrall

SnowLeopardからMountainLionへのアップグレードは、トリッキーで最良であり、最悪の場合は壊滅的です。発生した問題がある場合は、新しいMLを最初から作成し、サービスを転送することをお勧めします。

通常、サーバー上のTimeMachineバックアップからの復元はうまく機能します。

2
Phillip Boushy