- 

- kbr5.conf(5) のマニュアルページに従って、ご利用の環境固有の情報が含まれた「/etc/krb5.conf」を作成します。以下は基本的な「krb5.conf」の例です。


[libdefaults]
	default_realm = EXAMPLE.COM
[realms]
	EXAMPLE.COM = {
		admin_server = kdc.example.com
		kdc = kdc.example.com
		kpasswd = kdc.example.com
	}

 
 - ログインウインドウからログインするときにチケット認可チケット (TGT) を取得するには、pam_krb5(8) のマニュアルページに従って「/etc/pam.d/authorization」を編集します。たとえば、有効な AuthenticationAuthority 属性を含まないユーザアカウントを使う場合は、必ず pam_krb5.so 行に default_principal オプションを追加してください。


auth optional pam_krb5.so use_first_pass use_kcminit default_principal

 
 - スクリーンセーバーに対して認証を行うときにチケット認可チケットを取得するには、pam_krb5(8) のマニュアルページに従って「/etc/pam.d/screensaver」を編集します。有効な AuthenticationAuthority 属性を含まないユーザアカウントを使う場合は、必ず pam_krb5.so 行に default_principal オプションを追加してください。


auth optional pam_krb5.so use_first_pass use_kcminit default_principal

 
 - ログアウトした後、「/etc/krb5.conf」で指定された KDC の Kerberos データベースのユーザプリンシパルとユーザ名が一致するユーザとしてログインウインドウからログインし直します。チケットビューアアプリケーション (「/システム/ライブラリ/CoreServices」にあります) を使うか、ターミナルアプリケーションで klist を実行すると、TGT を取得できたことが確認できます。 

関連情報
注意:OS X Server または Active Directory サーバが KDC として使われている場合は、この記事は適用されません。