OS X Lion: włączanie uwierzytelniania Kerberos za pośrednictwem centrum KDC innej firmy

Dowiedz się, jak skonfigurować system OS X Lion, aby można było uwierzytelniać się za pośrednictwem centrum dystrybucji kluczy (KDC, Key Distribution Center) innej firmy.

  1. Zgodnie z instrukcjami ze strony podręcznika systemowego kbr5.conf(5) utwórz plik /etc/krb5.conf z informacjami o Twojej witrynie. Oto przykład podstawowego pliku krb5.conf:
    [libdefaults]
    	default_realm = EXAMPLE.COM
    [realms]
    	EXAMPLE.COM = {
    		admin_server = kdc.example.com
    		kdc = kdc.example.com
    		kpasswd = kdc.example.com
    	}
  2. Aby uzyskać bilet uprawniający do przyznania biletu (TGT, Ticket Granting Ticket) podczas logowania się za pośrednictwem okna logowania, wprowadź zmiany w pliku /etc/pam.d/authorization zgodnie z instrukcjami ze strony pam_krb5(8). Na przykład jeśli zamierzasz używać kont użytkowników, które nie zawierają prawidłowego atrybutu AuthenticationAuthority, musisz dodać opcję default_principal w wierszu pam_krb5.so:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  3. Aby uzyskać bilet TGT podczas uwierzytelniania z poziomu wygaszacza ekranu, wprowadź zmiany w pliku /etc/pam.d/screensaver zgodnie z instrukcjami ze strony pam_krb5(8). Tak samo jak w przypadku pliku /etc/pam.d/authorization musisz dodać opcję default_principal w wierszu pam_krb5.so, jeśli zamierzasz używać kont użytkowników, które nie zawierają prawidłowego atrybutu AuthenticationAuthority:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  4. Wyloguj się, a następnie znowu się zaloguj za pośrednictwem okna logowania, podając dane użytkownika, którego krótka nazwa jest główną nazwą użytkownika w bazie danych Kerberos w centrum KDC podanym w pliku /etc/krb5.conf. Przyznany bilet TGT możesz zobaczyć w aplikacji Podgląd biletów (znajdującej się w katalogu /System/Biblioteki/CoreServices) lub w programie Terminal po wykonaniu polecenia klist.

Więcej informacji

Uwaga: ten artykuł nie ma zastosowania, jeśli rolę serwera KDC pełni serwer Active Directory lub OS X Server.

Data publikacji: