eri*_*c.s 6 active-directory printing kerberos mac-osx
我们找到了最优秀的程序,可以让我们的 OSX 机器通过我们的 Windows 打印服务器进行打印。(来自http://deploystudio.com/ 的ksmbprint )
该程序允许通过 kerberos 身份验证与服务器进行 smb 打印 - 无需为每个打印作业不断输入 AD 用户名和密码,并且我们不必在 300 台左右的机器上设置特定的打印机使用 lpadmin 打印。
问题是 kerberos 票证持续 10 小时。10 小时 1 秒,打印作业进入以太 - 看起来它通过了,但无处可去。
在测试中,我可以转到 Keychain Access -> Ticket Viewer,然后在输入我的 AD 密码后更新票证。这对测试人员来说很好,但对用户来说则不然。
我找到了一个脚本来检查,当用户的票剩下不到 30 分钟时,它会要求他们重新进行身份验证。将其设置为启动代理并且它可以工作 - 直到要求用户重新进行身份验证。作为代理运行时,这部分不会发生。
寻找一种以尽可能少的用户干预重新授权票证的方法。如果我可以让启动代理像刚运行时那样工作,那么第一次运行我就可以了,但真的很想要一种悄悄地重新验证 kerberos 票证的方法。
与域管理员交谈,他们不建议增加票证时间,经过讨论我们意识到无论我们将其设置为何时到期,都会有人的票证即将到期,因此我们最好找到更好的解决方案.
编辑:我已经让启动代理工作了,但我仍在寻找一种无需用户干预的方法。当这个随机框出现并输入他们的域密码时,要求用户信任我们的想法是我们不应该要求用户做的事情的列表。
kinit -R似乎对我有用。我很想建议只使用一个 LaunchAgent 来运行此命令,其 StartInterval 为 7200 秒(2 小时);你可以变得更奇特(例如,首先测试网络连接,在你的 TGT 接近到期时调整重试频率,等等),但我认为你主要会做很多工作来避免一点点计算费用。
| 归档时间: |
|
| 查看次数: |
21170 次 |
| 最近记录: |