OS X Lion: attivazione dell'autenticazione Kerberos con un centro di distribuzione chiavi di terze parti

Scopri come configurare OS X Lion per eseguire l'autenticazione con un centro di distribuzione chiavi (KDC) di terze parti.

  1. In base alla pagina manuale kbr5.conf(5), crea /etc/krb5.conf con informazioni specifiche relative al tuo sito. Di seguito è riportato un esempio di un file di configurazione krb5.conf di base:
    [libdefaults]
    	default_realm = EXAMPLE.COM
    [realms]
    	EXAMPLE.COM = {
    		admin_server = kdc.example.com
    		kdc = kdc.example.com
    		kpasswd = kdc.example.com
    	}
  2. Per ottenere un Ticket Granting Ticket (TGT) quando si accede tramite la finestra di login, modifica /etc/pam.d/authorization in base alla pagina manuale pam_krb5(8). Ad esempio, devi aggiungere l'opzione default_principal alla riga pam_krb5.so se prevedi di utilizzare account utente che non contengono un attributo AuthenticationAuthority valido:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  3. Per ottenere un Ticket Granting Ticket (TGT) durante l'autenticazione del salvaschermo, modifica la pagina manuale /etc/pam.d/screensaver in base alla pagina manuale pam_krb5(8). Come per /etc/pam.d/authorization, devi aggiungere l'opzione default_principal alla riga pam_krb5.so se prevedi di utilizzare account utente che non contengono un attributo AuthenticationAuthority valido:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  4. Effettua il logout, quindi accedi nuovamente tramite la finestra di login come un utente il cui nome breve corrisponde a un utente principale nel database Kerberos del centro di distribuzione chiavi specificato in /etc/krb5.conf. A questo punto noterai che hai ottenuto TGT tramite l'applicazione Ticket Viewer (situata in /Sistema/Libreria/CoreServices) o mediante l'esecuzione di klist nell'applicazione Terminale.

Ulteriori informazioni

Nota: questo articolo non si applica se un OS X Server o un server Active Directory viene utilizzato come KDC.

Data di pubblicazione: