OS X Lion Probleme mit Magic Triangel und 10.6 OD Server

Wenn man einen 10.7.x Lion Client mit einem Magic Triangle (Benutzerauthentifizierung aus Active Directory, Rechneradministration mit OpenDirectory / MCX) betreibt gibt es aktuell Probleme: der Client mag sich nicht mit dem OpenDirectory Server verbinden. Selbst Clients die vorher unter 10.6 gelaufen sind weigern sich und melden, dass der OD Server nicht verfügbar sei.

Das Problem tritt nur auf wenn der OpenDirectory Server anonyme binds verweigert bzw. wenn man authentifiziertes binding verwendet. Wenn ich das richtig verstanden habe versucht sich ein Lion Client immer per GSSAPI (und Kerberos) zu binden wenn der Server dies unterstützt. Beim klassischen Magic Triangle ist der OD Server selbst keine Kerberos Instanz und kann selbst nur (gegen die OD) Passwort authentifizierung (etwa CRAM-MD5). Man muss dem Server also abgewöhnen die GSSAPI zu verwenden.

Die Lösung ist ein Hack, der aber von Apple selbst so vorgeschlagen wird. Laut Apples Support Dokument TS3861 genügt es die Links auf die libgssapi zu löschen und den LDAP Server neu zu starten:

sudo rm /usr/lib/sasl2/openldap/libgssapiv2.2.so
sudo rm /usr/lib/sasl2/openldap/libgssapiv2.la

Wie das Ganze mit 10.7 Server funktioniert konnte ich bisher noch nicht ausprobieren. So wie ich das aber sehe ist ein Lion Server immer auch Kerberos Server.