Ten artykuł został zarchiwizowany i nie jest już aktualizowany przez firmę Apple.

OS X Lion: włączanie uwierzytelniania Kerberos za pośrednictwem centrum KDC innej firmy

Dowiedz się, jak skonfigurować system OS X Lion, aby można było uwierzytelniać się za pośrednictwem centrum dystrybucji kluczy (KDC, Key Distribution Center) innej firmy.

  1. Zgodnie z instrukcjami ze strony podręcznika systemowego kbr5.conf(5) utwórz plik /etc/krb5.conf z informacjami o witrynie. Oto przykład podstawowego pliku krb5.conf:

    [libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { admin_server = kdc.example.com kdc = kdc.example.com kpasswd = kdc.example.com }

  2. Aby uzyskać bilet uprawniający do przyznania biletu (TGT, Ticket Granting Ticket) podczas logowania się za pośrednictwem okna logowania, wprowadź zmiany w pliku /etc/pam.d/authorization zgodnie z instrukcjami ze strony pam_krb5(8). Na przykład jeśli zamierzasz używać kont użytkowników, które nie zawierają prawidłowego atrybutu AuthenticationAuthority, musisz dodać opcjędefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

    auth optional pam_krb5.so use_first_pass use_kcminit default_principal

  3. Aby uzyskać bilet TGT podczas uwierzytelniania z poziomu wygaszacza ekranu, wprowadź zmiany w pliku /etc/pam.d/screensaver zgodnie z instrukcjami ze strony pam_krb5(8). Tak samo jak w przypadku pliku /etc/pam.d/authorization musisz dodać opcjędefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

    auth optional pam_krb5.so use_first_pass use_kcminit default_principal

  4. Wyloguj się, a następnie znowu się zaloguj za pośrednictwem okna logowania, podając dane użytkownika, którego krótka nazwa jest główną nazwą użytkownika w bazie danych Kerberos w centrum KDC podanym w pliku /etc/krb5.conf. Przyznany bilet TGT możesz zobaczyć w aplikacji Podgląd biletów (znajdującej się w katalogu /System/Biblioteki/CoreServices) lub w aplikacji Terminal po wykonaniu polecenia klist.

Więcej informacji

Uwaga: ten artykuł nie ma zastosowania, jeśli rolę serwera KDC pełni serwer Active Directory lub OS X Server.

Data publikacji: