OS X Lion: como habilitar a autenticação Kerberos com um Centro de Distribuição de Chaves

Saiba como configurar o OS X Lion para autenticar um Centro de Distribuição de Chaves (KDC, Key Distribution Center) de terceiros.

  1. De acordo com a página do manual kbr5.conf(5), crie /etc/krb5.conf com as informações específicas do seu site. Este é um exemplo de arquivo krb5.conf básico:
    [libdefaults]
    	default_realm = EXAMPLE.COM
    [realms]
    	EXAMPLE.COM = {
    		admin_server = kdc.example.com
    		kdc = kdc.example.com
    		kpasswd = kdc.example.com
    	}
  2. Para obter um arquivo de identificação criptografado TGT (Ticket Granting Ticket) ao iniciar a sessão pela janela de início de sessão, edite /etc/pam.d/authorization de acordo com a página do manual pam_krb5(8). Por exemplo, é necessário adicionar a opção default_principal à linha pam_krb5.so se você estiver usando contas de usuário que não contenham um atributo válido de AuthenticationAuthority:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  3. Para obter um arquivo de identificação criptografado TGT (Ticket Granting Ticket) ao autenticar o protetor de tela, edite /etc/pam.d/screensaver de acordo com a página do manual pam_krb5(8). Assim como em /etc/pam.d/authorization, é necessário adicionar a opção default_principal à linha pam_krb5.so se você estiver usando contas de usuário que não contenham um atributo válido de AuthenticationAuthority:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  4. Encerre e inicie novamente a sessão por meio da janela de início de sessão como um usuário cujo nome corresponda ao usuário principal no banco de dados do Kerberos do KDC especificado em /etc/krb5.conf. Agora, você deve perceber que obteve um TGT ao usar o aplicativo Visualizador de Tíquetes (localizado em /Sistema/Biblioteca/CoreServices) ou ao executar klist no aplicativo Terminal.

Saiba mais

Nota: este artigo não se aplica se um OS X Server ou um servidor do Active Directory estiver sendo usado como KDC.

Data da publicação: