OS X Lion:通过第三方密钥分发中心启用 Kerberos 鉴定

了解如何配置 OS X Lion 以针对第三方密钥分发中心 (KDC) 进行鉴定。

  1. 按照“kbr5.conf(5)”手册页,使用网站特定信息来创建“/etc/krb5.conf”。以下是“krb5.conf”基本文件示例:
    [libdefaults]
    	default_realm = EXAMPLE.COM
    [realms]
    	EXAMPLE.COM = {
    		admin_server = kdc.example.com
    		kdc = kdc.example.com
    		kpasswd = kdc.example.com
    	}
  2. 若要在通过登录窗口登录时获取票据授予票据 (TGT),请按照“pam_krb5(8)”手册页编辑“/etc/pam.d/authorization”。例如,如果您要使用的是不含有效 AuthenticationAuthority 属性的用户帐户,则必须将“default_principal”选项添加到“pam_krb5.so”行:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  3. 若要在对屏幕保护程序进行鉴定时获取票据授予票据 (TGT),请按照“pam_krb5(8)”手册页编辑“/etc/pam.d/screensaver”。与编辑“/etc/pam.d/authorization”一样,如果您要使用的是不含有效 AuthenticationAuthority 属性的用户帐户,则必须将“default_principal”选项添加到“pam_krb5.so”行:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  4. 如果用户的短名称与“/etc/krb5.conf”中指定的 KDC 的 Kerberos 数据库中的用户主体相匹配,请以此用户身份通过登录窗口注销并重新登录。您现在应看到自己已通过“票据显示程序”应用软件(位于“/系统/资源库/CoreServices”)或在“终端”应用软件中执行“klist”获取了一个 TGT。

了解详情

:如果要将 OS X Server 或 Active Directory 服务器用作 KDC,则本文不适用。

发布日期: