OS X Lion: Cómo activar la autenticación Kerberos con un centro de distribución de claves (KDC) de terceros

Aprende a configurar OS X Lion para que se autentique con un centro de distribución de claves (KDC) de terceros.

  1. Siguiendo las instrucciones de la página kbr5.conf(5) manual, crea /etc/krb5.conf con la información específica del sitio. He aquí un ejemplo de un archivo krb5.conf básico:
    [libdefaults]
    	default_realm = EXAMPLE.COM
    [realms]
    	EXAMPLE.COM = {
    		admin_server = kdc.example.com
    		kdc = kdc.example.com
    		kpasswd = kdc.example.com
    	}
  2. Para poder obtener un ticket otorgador de ticket al conectarte desde la ventana de inicio de sesión, edita /etc/pam.d/authorization según se indica en la página pam_krb5(8) manual. Por ejemplo, deberás añadir la opción default_principal a la línea pam_krb5.so si pretendes utilizar cuentas de usuario que no contengan un atributo AuthenticationAuthority válido:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  3. Para obtener un ticket otorgador de ticket al autenticarte en el salvapantallas, edita /etc/pam.d/screensaver según se indica en la página pam_krb5(8) manual. Al igual que en el caso de /etc/pam.d/authorization, deberás añadir la opción default_principal a la línea pam_krb5.so si pretendes utilizar cuentas de usuario que no contengan un atributo AuthenticationAuthority válido:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  4. Cierra la sesión y vuelve a conectarte desde la ventana de inicio de sesión como un usuario cuyo nombre corto se corresponda con el principal de un usuario en la base de datos Kerberos del KDC especificada en /etc/krb5.conf. Ahora deberías poder comprobar que has obtenido un ticket otorgador de ticket usando la aplicación Visor de tickets (ubicada en /Sistema/Librería/CoreServices) o ejecutando klist en la aplicación Terminal.

Más información

Nota: Este artículo no es válido en caso de que se esté usando como KDC un servidor OS X Server o Active Directory.

Fecha de publicación: