• Medlem
  • Hemmesdynge
  • 2010-02-03 14:59

Okej, jag håller på med en väldigt stor lösning med "magisk triangel", AD/OD-lösning.

Universitetet har ett gigantiskt AD med alla anställda och studenter, kallat UW.LU.SE
Min server, hta-aquinas.kult.lu.se skall då gå med i AD:t med AD-pluggen och därefter skall den promotas till OD-master och services skall Kerberiseras på vägen.

Tyvärr innebär denna diskrepans mellan DNS-namnet, hta-aquinas.uw.lu.se vid forward och hta-aquinas.kult.lu.se vid reverse att Kerberos blir jättesur och Single Sign On fungerar inte.

Apple själva hänvisar till denna KB-artikel:
Mac OS X Server v10.6: Configuring service principals in Active Directory when using a disjoint namespace
och vi har gjort den ändringen i AD:t men det hjälper inte, det enda som händer är att Kerberos tycker sig ha massa nycklar tillhörande 3 datorer och 2 realms (hta-aquinas.kult.lu.se, hta-aquinas.uw.lu.se i realmen UW.LU.SE och sen hta-aquinas.kult.lu.se i realmen HTA-AQUINAS.KULT.LU.SE)

Kör jag 'sudo sso_util info -g' så säger den att Kerberos Primary Realm är HTA-AQUINAS.KULT.LU.SE men om jag kör 'sudo sso_util info -r .' så meddelar den att datorn är med i Kerberosdomänen UW.LU.SE och att services är kerberized, men lik förbaskat går det inte att ansluta till servern med Kerberos med giltig biljett.

Idéer?