Kerberos unter 10.4.2 Server tickt aus

[Patrick]

Anders kann man es nicht nennen. Testsystem aufgesetzt, Open Directory als Master konfiguriert, User und Shares angelegt und alles hat wunderbar geklappt. Die Homeverzeichnisse waren auf dem Server und die Anmeldung hat wunderbar geklappt. Dann die IP-Adresse des Servers angepasst (FQDN ist auf dem DNS richtig angelegt) und POOF, nix geht mehr. Keine Anmeldung mehr möglich. Erst das komplette Löschen des OD und Neuanlage aller Einträge mit der richtigen IP-Adresse auf dem Server läßt das System wieder so funktionieren wie es soll. Sollte nicht die FQDN genau dieses verhindern? Woran liegt's?

[mbs]

Sollte nicht die FQDN genau dieses verhindern?

Nein, dass der Kerberos-Server nicht mehr akzeptiert wurde, ist beabsichtigt. Dass der FQDN mit dem Kerberos-Realm-Namen übereinstimmt, ist sozusagen zufällig und hat keine tiefere Bedeutung. Das Sicherheitssystem darf nicht einfach einen "fremden" Server (mit einer anderen IP-Adresse) akzeptieren, der so tut, als würde er so heißen wie der "alte". Es wäre schließlich recht einfach möglich, das Netz mit falschen DNS-Angaben zu überfluten und so einen gefälschten Kerberos-Server ins Netz zu bringen. Aus diesem Grund werden Zeitstempel und IP-Adressen aller beteiligten Rechner sorgfältig überprüft.

Rückfrage: Wurde die IP-Adresse vielleicht über die grafische Oberfläche geändert? Das wäre die Hauptfehlerquelle Nummer 1. Unter Mac OS X Server müssen lokale IP-Adressen über das Programm changeip auf der Kommandozeile geändert werden.

[Patrick]

Rückfrage: Wurde die IP-Adresse vielleicht über die grafische Oberfläche geändert? Das wäre die Hauptfehlerquelle Nummer 1. Unter Mac OS X Server müssen lokale IP-Adressen über das Programm changeip auf der Kommandozeile geändert werden.

Argh, klar...