OS X Lion: activación de la autenticación Kerberos con un Centro de distribución de claves de terceros

Obtén información acerca de cómo configurar OS X Lion para autenticar en un Centro de distribución de claves (KDC) de terceros.

  1. Con la página manual kbr5.conf(5), crea /etc/krb5.conf con la información específica de tu sitio. A continuación, se incluye un ejemplo de un archivo krb5.conf básico:
    [libdefaults]
    	default_realm = EXAMPLE.COM
    [realms]
    	EXAMPLE.COM = {
    		admin_server = kdc.example.com
    		kdc = kdc.example.com
    		kpasswd = kdc.example.com
    	}
  2. Para obtener un ticket otorgador de ticket (TGT) cuando inicias sesión por medio de una ventana de inicio de sesión, edita /etc/pam.d/authorization con la página manual pam_krb5(8). Por ejemplo, debes agregar la opción default_principal a la línea pam_krb5.so si vas a usar cuentas de usuario que no contienen un atributo válido de AuthenticationAuthority:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  3. Para obtener un ticket otorgador de ticket (TGT) cuando autenticas a un Protector de pantalla, edita /etc/pam.d/screensaver con la página manual pam_krb5(8). Al igual que con /etc/pam.d/authorization, debes agregar la opción default_principal a la línea pam_krb5.so si vas a usar cuentas de usuario que no contienen un atributo válido de AuthenticationAuthority:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  4. Cierra sesión y vuelve a iniciar sesión por medio de una ventana de inicio de sesión como un usuario cuyo nombre corto coincida con el de un usuario principal en la base de datos de Kerberos del KDC especificado en /etc/krb5.conf. Ahora deberías ver que obtuviste un TGT usando la aplicación Visor de tickets (ubicada en /Sistema/Librería/CoreServices) o ejecutando klist en la aplicación Terminal.

Más información

Nota: Este artículo no aplica si un OS X Server o un servidor Active Directory se usa como el KDC.

Fecha de publicación: