Nella mia azienda AD abbiamo un utente che non può accedere al Mac. Il mac è limitato a AD e gli altri utenti possono accedere senza problemi.
Succede dopo aver rimosso la sua home directory mobile su Mac. Ho pensato che la prossima volta che effettuerà il login, verrà creata una nuova home directory, ma la finestra di login del Mac si scuote come se avesse digitato una password sbagliata.
Output di dsconfigad -show
:
Active Directory Forest = sample.com
Active Directory Domain = sample.com
Computer Account = samplemacmini$
Advanced Options - User Experience
Create mobile account at login = Enabled
Require confirmation = Disabled
Force home to startup disk = Enabled
Mount home as sharepoint = Enabled
Use Windows UNC path for home = Enabled
Network protocol to be used = smb
Default user Shell = /bin/bash
Advanced Options - Mappings
Mapping UID to attribute = not set
Mapping user GID to attribute = not set
Mapping group GID to attribute = not set
Generate Kerberos authority = Enabled
Advanced Options - Administrative
Preferred Domain controller = not set
Allowed admin groups = domain admins,enterprise admins
Authentication from any domain = Enabled
Packet signing = allow
Packet encryption = allow
Password change interval = 14
Restrict Dynamic DNS updates = not set
Namespace mode = domain
Inoltre, quando Mac la rifiuta, ho trovato un evento di errore di pre-autenticazione Kerberos:
Kerberos pre-authentication failed.
Account Information:
Security ID: domain\username
Account Name: username
Service Information:
Service Name: krbtgt/sample.COM
Network Information:
Client Address: ::ffff:(mac ip)
Client Port: 55959
Additional Information:
Ticket Options: 0x40000000
Failure Code: 0x18
Pre-Authentication Type: 2
Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
Ho scoperto che quando gli errori di Kerberos superano il nostro limite di criteri di accesso, lei verrà bloccata.
Sospetto che venga inviata una password vuota. Qualche idea?