OS X Lion：通过第三方密钥分发中心启用 Kerberos 认证

了解如何配置 OS X Lion 以针对第三方密钥分发中心 (KDC) 进行认证。

1. 按照 kbr5.conf(5) 手册页面的说明，使用网站特定信息创建 /etc/krb5.conf。下面是 krb5.conf 基本文件的示例：

   [libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { admin_server = kdc.example.com kdc = kdc.example.com kpasswd = kdc.example.com }

2. 要在通过登录窗口登录时获取“授权票据的票据”(TGT)，请按照 pam_krb5(8) 手册页面的说明编辑 /etc/pam.d/authorization。例如，如果你要使用的用户帐户不包含有效的 AuthenticationAuthority 属性，则必须将default_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

   auth optional pam_krb5.so use_first_pass use_kcminit default_principal

3. 要在对屏幕保护程序进行认证时获取“授权票据的票据”(TGT)，请按照 pam_krb5(8) 手册页面的说明编辑 /etc/pam.d/screensaver。与编辑 /etc/pam.d/authorization 时一样，如果你要使用的用户帐户不包含有效的 AuthenticationAuthority 属性，则必须将default_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:

   auth optional pam_krb5.so use_first_pass use_kcminit default_principal

4. 以满足以下条件的用户身份，通过登录窗口退出登录并重新登录：短名称与 /etc/krb5.conf 所指定 KDC 的 Kerberos 数据库中的用户主体相匹配。你现在应该会发现，你已通过使用“票据显示程序”应用程序（位于“/系统/资源库/CoreServices”中）或通过在“终端”应用程序中执行 klist 获取了 TGT。

进一步了解

注：如果用作 KDC 的是 OS X 服务器或 Active Directory 服务器，则本文不适用。