本文章已经归档,因此 Apple 将不再对其进行更新。

OS X Lion:通过第三方密钥分发中心启用 Kerberos 认证

了解如何配置 OS X Lion 以针对第三方密钥分发中心 (KDC) 进行认证。

  1. 按照 kbr5.conf(5) 手册页面的说明,使用网站特定信息创建 /etc/krb5.conf。下面是 krb5.conf 基本文件的示例:

    [libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { admin_server = kdc.example.com kdc = kdc.example.com kpasswd = kdc.example.com }

  2. 要在通过登录窗口登录时获取“授权票据的票据”(TGT),请按照 pam_krb5(8) 手册页面的说明编辑 /etc/pam.d/authorization。例如,如果你要使用的用户帐户不包含有效的 AuthenticationAuthority 属性,则必须将default_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

    auth optional pam_krb5.so use_first_pass use_kcminit default_principal

  3. 要在对屏幕保护程序进行认证时获取“授权票据的票据”(TGT),请按照 pam_krb5(8) 手册页面的说明编辑 /etc/pam.d/screensaver。与编辑 /etc/pam.d/authorization 时一样,如果你要使用的用户帐户不包含有效的 AuthenticationAuthority 属性,则必须将default_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

    auth optional pam_krb5.so use_first_pass use_kcminit default_principal

  4. 以满足以下条件的用户身份,通过登录窗口退出登录并重新登录:短名称与 /etc/krb5.conf 所指定 KDC 的 Kerberos 数据库中的用户主体相匹配。你现在应该会发现,你已通过使用“票据显示程序”应用程序(位于“/系统/资源库/CoreServices”中)或通过在“终端”应用程序中执行 klist 获取了 TGT。

进一步了解

:如果用作 KDC 的是 OS X 服务器或 Active Directory 服务器,则本文不适用。

发布日期: