OS X Lion: Kerberos-authenticatie inschakelen met een KDC (Key Distribution Center) van derden

Lees hier hoe je OS X Lion configureert om authenticatie uit te voeren via een KDC (Key Distribution Center) van derden.

1. Maak een /etc/krb5.conf-bestand aan met de site-specifieke informatie, zoals beschreven in de man-pagina 'kbr5.conf(5)'. Hier is een voorbeeld van een standaard krb5.conf-bestand:

   [libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { admin_server = kdc.example.com kdc = kdc.example.com kpasswd = kdc.example.com }

2. Om een TGT (Ticket Granting Ticket) te verkrijgen wanneer je inlogt via het inlogvenster, bewerk je /etc/pam.d/authorization zoals beschreven in de man-pagina 'pam_krb5(8)'. Je moet bijvoorbeeld de optiedefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

   auth optional pam_krb5.so use_first_pass use_kcminit default_principal

3. Om een TGT (Ticket Granting Ticket) te verkrijgen bij authenticatie via de schermbeveiliging, bewerk je /etc/pam.d/screensaver zoals beschreven in de man-pagina 'pam_krb5(8)'. Net als bij /etc/pam.d/authorization moet je de optiedefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

   auth optional pam_krb5.so use_first_pass use_kcminit default_principal

4. Log uit en log opnieuw in via het inlogvenster als een gebruiker wiens korte naam overeenkomt met de 'principal'-gebruiker in de Kerberos-database van het KDC gespecificeerd in /etc/krb5.conf. Als het goed is, zie je nu dat je een TGT hebt verkregen wanneer je de Ticket Viewer-applicatie gebruikt (te vinden in /System/Library/CoreServices) of klist uitvoert in de Terminal-applicatie.

Meer informatie

Opmerking: dit artikel is niet van toepassing als een OS X-server of Active Directory-server wordt gebruikt als KDC.