使用Open Directory(从10.8)升级到OS X 10.10客户端和服务器后,我们得到了一个有趣的新问题。
当用户更改密码时(使用系统偏好设置或在login屏幕上),似乎Kerberos凭据不刷新/刷新/更新。 所以,当它们到期时,试图更新它们(10小时后)触发我们的最大失败尝试限制并locking用户。
我可以看到, kcm守护进程是10小时后运行的,最终导致了locking。
我可以看到使用klist密码更改不会更新凭据。
此外,caching的凭据(在7天的窗口内)似乎导致用户使用的任何机器(我们的用户移动很多)。 所以这不仅仅是在密码改变的机器上发出kdestroy的问题。
任何想法发生了什么?
为什么OD能够在目录中的所有机器上同步所有内容?
我只需要禁用凭证caching? 这在10.9之前是不是一个问题?