OS X Lion: come abilitare l'autenticazione Kerberos con un centro distribuzione chiave di terze parti
Scopri come configurare OS X Lion per effettuare l'autenticazione su un centro distribuzione chiave (KDC, Key Distribution Center) di terze parti.
Come descritto nella pagina del manuale su kbr5.conf(5), crea il file /etc/krb5.conf con le informazioni specifiche del tuo sito. Ecco un esempio di un file krb5.conf di base:
[libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { admin_server = kdc.example.com kdc = kdc.example.com kpasswd = kdc.example.com }
Per ottenere un ticket di concessione (TGT, Ticket Granting Ticket) quando accedi tramite la finestra di login, modifica il file /etc/pam.d/authorization secondo quanto riportato nella pagina del manuale su pam_krb5(8). Ad esempio, devi aggiungere l'opzionedefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:
auth optional pam_krb5.so use_first_pass use_kcminit default_principal
Per ottenere un ticket di concessione (TGT, Ticket Granting Ticket) quando effettui l'autenticazione sul salvaschermo, modifica il file /etc/pam.d/screensaver secondo quanto riportato nella pagina del manuale su pam_krb5(8). Come con /etc/pam.d/authorization, devi aggiungere l'opzionedefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:
auth optional pam_krb5.so use_first_pass use_kcminit default_principal
Esci e accedi nuovamente tramite la finestra di login come utente il cui nome breve corrisponde al nome principale dell'utente nel database Kerberos del KDC specificato in /etc/krb5.conf. A questo punto, dovrebbe comparire un'indicazione che significa che hai ottenuto un TGT utilizzando l'applicazione Visore Ticket (disponibile in /Sistema/Libreria/CoreServices) o eseguendo il comando klist in Terminale.
Scopri di più
Nota: le istruzioni riportate in questo articolo non si applicano se stai usando un server OS X Server o Active Directory come KDC.