OS X Lion: A Kerberos-hitelesítés engedélyezése a külső kulcsszolgáltatóknál

A cikk ismerteti, hogy az OS X Lion konfigurálásával hogyan végezhető el a hitelesítés a külső kulcsszolgáltatóknál (KDC).

  1. A kézikönyv kbr5.conf(5) fájllal foglalkozó oldalán szereplő útmutató szerint hozza létre a webhelyre vonatkozó információkat tartalmazó /etc/krb5.conf fájlt. Példa egy egyszerű krb5.conf fájlra:
    [libdefaults]
    	default_realm = EXAMPLE.COM
    [realms]
    	EXAMPLE.COM = {
    		admin_server = kdc.example.com
    		kdc = kdc.example.com
    		kpasswd = kdc.example.com
    	}
  2. Annak érdekében, hogy a bejelentkezési ablakban történő bejelentkezés során megkapja a jegymegadási jegyet (TGT), szerkessze az /etc/pam.d/authorization fájlt a kézikönyv pam_krb5(8) fájllal foglalkozó oldalán szereplő útmutató szerint. Például meg kell adnia a default_principal beállítást a pam_krb5.so sorban, ha olyan felhasználói fiókokat használ, amelyek nem rendelkeznek érvényes AuthenticationAuthority attribútummal:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  3. Annak érdekében, hogy megkapja a jegymegadási jegyet (TGT) a képernyővédőn való hitelesítés során, szerkessze az /etc/pam.d/screensaver fájlt a kézikönyv pam_krb5(8) fájllal foglalkozó oldalán szereplő útmutató szerint. Hasonlóan az /etc/pam.d/authorization fájlhoz, itt is meg kell adnia a default_principal beállítást a pam_krb5.so sorban, ha olyan felhasználói fiókokat használ, amelyek nem rendelkeznek érvényes AuthenticationAuthority attribútummal:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  4. A bejelentkezési ablakban jelentkezzen ki, majd be olyan felhasználóként, akinek a rövid neve megegyezik azzal az egyszerű felhasználónévvel, amely az /etc/krb5.conf fájlban szerepel a KDC Kerberos-adatbázisában. Ezek után megtekintheti a beszerzett TGT-t a Jegyböngésző alkalmazás segítségével (a /Rendszer/Könyvtár/CoreServices mappában található), illetve a Terminal alkalmazásban a klist parancs beírásával.

További információk

Megjegyzés: Ez a cikk nem vonatkozik arra az esetre, ha OS X Server vagy Active Directory kiszolgálót használ KDC-ként.

Közzététel dátuma: