OS X Lion: como ativar a autenticação Kerberos com um Centro de distribuição de chaves de terceiros

Saiba como configurar o OS X Lion para autenticação em um KDC (Centro de distribuição de chaves) de terceiros.

1. De acordo com a página do manual do kbr5.conf(5), crie arquivos /etc/krb5.conf com as informações específicas de seu centro. Veja um exemplo de um arquivo krb5.conf básico:

   [libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { admin_server = kdc.example.com kdc = kdc.example.com kpasswd = kdc.example.com }

2. Para obter um TGT (Tíquete de concessão de tíquete) ao iniciar sessão pela janela de início de sessão, edite /etc/pam.d/authorization conforme a página do manual pam_krb5(8). Por exemplo, você deverá adicionar a opçãodefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

   auth optional pam_krb5.so use_first_pass use_kcminit default_principal

3. Para obter um TGT (Tíquete de concessão de tíquete) ao autenticar no protetor de tela, edite /etc/pam.d/screensaver conforme a página do manual pam_krb5(8). Assim como em /etc/pam.d/authorization, você deverá adicionar a opçãodefault_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

   auth optional pam_krb5.so use_first_pass use_kcminit default_principal

4. Finalize a sessão e inicie outra por meio da janela de início de sessão como um usuário cujo nome curto corresponda a um usuário principal no banco de dados Kerberos do KDC especificado em /etc/krb5.conf. Agora você deve ver que obteve um TGT usando o aplicativo Visualizador de Tíquetes (localizado em /System/Library/CoreServices) ou executando klist no aplicativo Terminal.

Saiba mais

Nota: este artigo não se aplica caso um OS X Server ou Active Directory estejam sendo usados como o KDC.