OS X Lion:他社のキー配布センターを使った Kerberos 認証を有効にする
他社のキー配布センター (KDC) から認証を受けられるよう OS X Lion を設定する方法を説明します。
kbr5.conf(5) のマニュアルページに従って、ご利用の環境固有の情報が含まれた「/etc/krb5.conf」を作成します。以下は基本的な「krb5.conf」の例です。
[libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { admin_server = kdc.example.com kdc = kdc.example.com kpasswd = kdc.example.com }ログインウインドウからログインするときにチケット認可チケット (TGT) を取得するには、pam_krb5(8) のマニュアルページに従って「/etc/pam.d/authorization」を編集します。たとえば、有効な AuthenticationAuthority 属性を含まないユーザアカウントを使う場合は、必ず pam_krb5.so 行にdefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:
auth optional pam_krb5.so use_first_pass use_kcminit default_principalスクリーンセーバーに対して認証を行うときにチケット認可チケットを取得するには、pam_krb5(8) のマニュアルページに従って「/etc/pam.d/screensaver」を編集します。「/etc/pam.d/authorization」と同様に、有効な AuthenticationAuthority 属性を含まないユーザアカウントを使う場合は、必ず pam_krb5.so 行にdefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:
auth optional pam_krb5.so use_first_pass use_kcminit default_principalログアウトした後、「/etc/krb5.conf」で指定された KDC の Kerberos データベースのユーザプリンシパルとユーザ名が一致するユーザとして、ログインウインドウからログインし直します。チケットビューアアプリケーション (「/システム/ライブラリ/CoreServices」にあります) を使うか、ターミナルアプリケーションで klist を実行すると、TGT を取得できたことが確認できます。
関連情報
注:OS X Server または Active Directory サーバが KDC として使われている場合は、この記事は適用されません。
