OS X Lion:他社のキー配布センターを使った Kerberos 認証を有効にする

他社のキー配布センター (KDC) から認証を受けられるよう OS X Lion を設定する方法を説明します。

  1. kbr5.conf(5) のマニュアルページに従って、ご利用の環境固有の情報が含まれた「/etc/krb5.conf」を作成します。以下は基本的な「krb5.conf」の例です。
    [libdefaults]
    	default_realm = EXAMPLE.COM
    [realms]
    	EXAMPLE.COM = {
    		admin_server = kdc.example.com
    		kdc = kdc.example.com
    		kpasswd = kdc.example.com
    	}
  2. ログインウインドウからログインするときにチケット認可チケット (TGT) を取得するには、pam_krb5(8) のマニュアルページに従って「/etc/pam.d/authorization」を編集します。たとえば、有効な AuthenticationAuthority 属性を含まないユーザアカウントを使う場合は、必ず pam_krb5.so 行に default_principal オプションを追加してください。
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  3. スクリーンセーバーに対して認証を行うときにチケット認可チケットを取得するには、pam_krb5(8) のマニュアルページに従って「/etc/pam.d/screensaver」を編集します。有効な AuthenticationAuthority 属性を含まないユーザアカウントを使う場合は、必ず pam_krb5.so 行に default_principal オプションを追加してください。
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  4. ログアウトした後、「/etc/krb5.conf」で指定された KDC の Kerberos データベースのユーザプリンシパルとユーザ名が一致するユーザとしてログインウインドウからログインし直します。チケットビューアアプリケーション (「/システム/ライブラリ/CoreServices」にあります) を使うか、ターミナルアプリケーションで klist を実行すると、TGT を取得できたことが確認できます。

関連情報

注意:OS X Server または Active Directory サーバが KDC として使われている場合は、この記事は適用されません。

公開日: