当用户更改其OD密码(在OS Xlogin屏幕或系统首选项)时,我遇到了50多个工作站(10.9和10.10)的问题。
密码更改服务器上的更新,但是如果用户没有立即重新启动他们的工作站(以及他们有一个用户帐户的每个工作站),在接下来的几个小时内,工作站将通过几十个身份validation尝试一个不正确的密码(或Kerberos票据,似乎),即使他们从机器注销。 当然这会达到最大的失败尝试,并有效地locking用户。
如果他们重新启动他们有一个用户帐户的每个工作站(移动用户或只是以前login到该计算机的常规networking用户),这不会发生。 当然,这导致我们假设某种密码(或票)的caching正在发生,但在哪里,什么? 有没有解决方法?
更新:
我相信我已经把authentication的尝试追溯到KCM。 看似随机的KCM每隔几分钟(实际上每137秒)开始运行一次,最初几次返回“Success”(在accountpolicy.log中),然后开始返回“Failed Authentication Policy”。
在此特定实例中,“成功”响应的数量等于允许的失败login尝试次数。 然后出现“失败的身份validation策略”响应。 所以它似乎相关。 我需要再次发生失败。
所以我现在的问题是:
是什么使KCM开始运行(12小时以上,有些情况下还没有运行)? 为什么KCM触发locking?