Cet article a été archivé et ne sera plus mis à jour par Apple.

OS X Lion : activation de l’authentification Kerberos avec un centre de distribution de clés tiers

Découvrez comment configurer OS X Lion afin de gérer l’authentification par l’intermédiaire d’un centre de distribution de clés (KDC) tiers.

  1. Conformément à la page de manuel kbr5.conf(5), créez un fichier /etc/krb5.conf en saisissant les informations spécifiques à votre site. Voici un exemple de fichier krb5.conf de base :

    [libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { admin_server = kdc.example.com kdc = kdc.example.com kpasswd = kdc.example.com }

  2. Afin d’obtenir un ticket TGT (Ticket Granting Ticket) lors d’une connexion par l’intermédiaire de la fenêtre d’ouverture de session, modifiez le fichier /etc/pam.d/authorization conformément à la page de manuel pam_krb5(8). Par exemple, vous devez ajouter l’optiondefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

    auth optional pam_krb5.so use_first_pass use_kcminit default_principal

  3. Pour obtenir un ticket TGT lors d’une authentification à partir de l’économiseur d’écran, modifiez le fichier /etc/pam.d/screensaver conformément à la page de manuel pam_krb5(8). Tout comme le fichier /etc/pam.d/authorization, vous devez ajouter l’optiondefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

    auth optional pam_krb5.so use_first_pass use_kcminit default_principal

  4. Déconnectez-vous, puis reconnectez-vous par l’intermédiaire de la fenêtre d’ouverture de session avec un compte d’utilisateur dont le nom abrégé correspond à celui de l’utilisateur principal dans la base de données Kerberos du centre de distribution de clés spécifié dans le fichier /etc/krb5.conf. Vous pouvez à présent vérifier que vous avez obtenu un ticket TGT en utilisant l’app Ticket Viewer (située dans /Système/Bibliothèque/CoreServices) ou en exécutant la commande klist dans l’application Terminal.

Informations supplémentaires

Note : cet article ne s’applique pas si un serveur OS X Server ou Active Directory est utilisé en tant que centre de distribution de clés.

Date de publication: