Почему один конкретный пользователь не может войти в домен в моей сети?

Окно входа в систему не дает много указаний, почему пользователю не разрешено входить в систему - оно качает головой, но не говорит почему. Иногда вы можете найти что-то в файле system.log (просмотреть его с помощью утилиты Console) о том, в чем проблема, но, как правило, нет.

Мой стандартный подход к сужению источников таких ошибок состоит в том, чтобы вручную протестировать критические части сетевого входа в систему (поиск информации о пользователях, аутентификация и монтирование домашнего каталога) и следить за информативными ошибками:

Войдите в систему как локальный пользователь (не пользователь сети) на клиентском компьютере и откройте утилиту терминала.

Запустите команду id suchandso (где "suchandso" - короткое имя пользователя сети). Он должен ответить что-то вроде "uid=1025(suchandso), gid=20(staff)" и т. Д. Если вместо этого он отвечает "id: suchandso: no such user", у вас либо неверное имя пользователя, либо клиент имеет проблема поиска информации о пользователе на сервере через LDAP. (Примечание: если бы это была проблема в вашем случае, у вас, вероятно, были бы сбои всех пользователей, а не только одного. Проверьте в любом случае, на всякий случай.)

На самом деле есть два разных режима аутентификации, и вы должны протестировать их оба. Сначала проверьте парольную аутентификацию в стиле сервера с помощью команды su suchandso (за ним следует пароль пользователя - обратите внимание, что он не будет отображаться при вводе). Вы можете получить сообщение об ошибке, даже если это удастся (например, что-то о том, что домашняя папка не найдена), поэтому используйте whoami команда, чтобы увидеть, если вы сейчас работаете как "suchandso" - если вы, аутентификация на основе PS работает (и вы должны использовать exit команда вернуться в нормальное состояние, прежде чем продолжить).

Затем попробуйте получить билет сетевой аутентификации (Kerberos) с помощью команды kinit suchandso (снова следует пароль пользователя при появлении запроса). Если это работает, он просто вернется с другим приглашением оболочки. Если что-то пойдет не так, вы, как правило, получите информативное сообщение об ошибке о том, в чем заключается проблема (например, если появится сообщение "Ошибка входа Kerberos: слишком большой перекос часов", это означает, что часы клиента слишком далеко не синхронизированы с сервером и один или оба из них должны быть исправлены).

Если kinit выдает сообщение "Пароль неверный"(несмотря на то, что тот же пароль работает для su), это говорит о том, что базы данных паролей сервера не синхронизированы, и вы должны сбросить пароль пользователя, чтобы заставить его вернуться к согласию. Используя команду passwd suchandso это, вероятно, лучший способ сделать это (сброс в Workgroup Manager не всегда исправляет это).

Если они работают, используйте функцию Finder Connect to Server (Command-K), чтобы попытаться подключиться к серверу; введите полное доменное имя сервера в поле Адрес сервера. Вам не нужно запрашивать имя и пароль (аутентификация Kerberos должна выполняться автоматически после kinit команда; если нет, то что-то не так с настройкой Kerberos файловой службы). Вы должны получить диалоговое окно "Выберите тома для монтирования", включая папку "Пользователи"(или любую папку, в которой находятся ваши пользователи). Обратите внимание, что фактическая домашняя папка пользователя также будет указана в списке, но это не то, что вам нужно; вместо этого выберите папку "Пользователи". Если папка "Пользователи" отсутствует в списке или вы пытаетесь ее смонтировать, устраните ее.

Если ничего из этого не показывает каких-либо проблем, значит у вас что-то неясное. Еще одна вещь, которую нужно попробовать, - убедиться, что настройки домашней папки пользователя настроены правильно: используйте WGM, чтобы переключить домашнюю папку пользователя на "(Нет)", сохраните, затем установите ее обратно и сохраните снова.