OS X Lion: Aktivera Kerberos-autentisering med en KDC från tredje part

Lär dig konfigurera OS X Lion så att den autentiserar mot ett nyckeldistributionscenter (KDC) från tredje part.

  1. I enlighet med man-sidan kbr5.conf(5) skapar du /etc/krb5.conf med din platsspecifika information. Här är ett exempel på en enkel krb5.conf-fil:
    [libdefaults]
    	default_realm = EXAMPLE.COM
    [realms]
    	EXAMPLE.COM = {
    		admin_server = kdc.example.com
    		kdc = kdc.example.com
    		kpasswd = kdc.example.com
    	}
  2. Om du vill hämta en TGT-biljett (Ticket Granting Ticket) när du loggar in via inloggningsfönstret redigerar du /etc/pam.d/authorization enligt man-sidan pam_krb5(8). Du måste till exempel lägga till alternativet default_principal på raden pam_krb5.so om du kommer att använda användarkonton som inte innehåller ett giltigt AuthenticationAuthority-attribut:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  3. Om du vill hämta en TGT-biljett (Ticket Granting Ticket) vid autentisering mot skärmsläckaren redigerar du /etc/pam.d/screensaver enligt man-sidan pam_krb5(8). Som med /etc/pam.d/authorization måste du lägga till alternativet default_principal på raden pam_krb5.so om du kommer att använda användarkonton som inte innehåller ett giltigt AuthenticationAuthority-attribut:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  4. Logga ut och logga in igen via inloggningsfönstret som en användare vars korta namn matchar en huvudanvändare i Kerberos-databasen för den KDC som angetts i /etc/krb5.conf. Du ska nu kunna se att du har fått en TGT-biljett genom att använda programmet Biljettvisare (finns i /System/Bibliotek/CoreServices) eller genom att köra klist i Terminal.

Läs mer

Obs! Den här artikeln gäller inte om en OS X Server eller Active Directory-server används som KDC.

Publiceringsdatum: