Ez egy archivált cikk, ezért az Apple egy ideje már nem frissíti.

OS X Lion: Kerberos-hitelesítés engedélyezése külső fejlesztésű kulcselosztó központtal

A cikk bemutatja, hogyan konfigurálható az OS X Lion egy külső fejlesztésű kulcselosztó központtal (KDC) való hitelesítésre.

  1. A kbr5.conf(5) kézikönyvoldal alapján hozza létre a következőt: /etc/krb5.conf a webhely adatainak megfelelően. Itt láthat egy példát egy alapvető krb5.conf fájlra:

    [libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { admin_server = kdc.example.com kdc = kdc.example.com kpasswd = kdc.example.com }

  2. Ahhoz, hogy amikor a bejelentkezési ablakban bejelentkezik, hozzájusson a jegyadó jegyhez (Ticket Granting Ticket, TGT), szerkessze az /etc/pam.d/authorization elemet a pam_krb5(8) kézikönyvoldalnak megfelelően. Ha például olyan felhasználói fiókokat használ, amelyek nem tartalmaznak érvényes AuthenticationAuthority attribútumot, adja hozzá a pam_krb5.so sorhoz adefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

    auth optional pam_krb5.so use_first_pass use_kcminit default_principal

  3. Ahhoz, hogy amikor a képernyővédőn hitelesítést végez, hozzájusson a jegyadó jegyhez (Ticket Granting Ticket, TGT), szerkessze az /etc/pam.d/screensaver elemet a pam_krb5(8) kézikönyvoldalnak megfelelően. Ahogyan az /etc/pam.d/authorization esetében, ha olyan felhasználói fiókokat használ, amelyek nem tartalmaznak érvényes AuthenticationAuthority attribútumot, adja hozzá a pam_krb5.so sorhoz adefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

    auth optional pam_krb5.so use_first_pass use_kcminit default_principal

  4. Jelentkezzen ki, majd jelentkezzen be ismét a bejelentkezési ablak segítségével, egy olyan felhasználó nevével, akinek a rövid neve megegyezik a felhasználó Kerberos-adatbázisban használt elsődleges nevével. Az adatbázist az /etc/krb5.conf alatt a KDC adja meg. A Ticket Viewer alkalmazásban (helye: /System/Library/CoreServices) vagy a klist Terminal-parancs futtatásával látnia kell, hogy sikerült beszerezni a TGT-t.

További információk

Megjegyzés: A cikkben szereplő információk nem érvényesek, ha OS X Servert vagy Active Directory-szervert használ KDC-ként.

Közzététel dátuma: