OS X Lion:透過第三方密鑰分配中心啟用 Kerberos 認證
本文說明如何設定 OS X Lion 來針對第三方密鑰分配中心(KDC)進行認證。
請按照 kbr5.conf(5) 說明頁指示,使用網站特定的資訊建立 /etc/krb5.conf。以下是基本 krb5.conf 檔案的範例:
[libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { admin_server = kdc.example.com kdc = kdc.example.com kpasswd = kdc.example.com }
若要在透過登入視窗登入時取得「票卷授予票」(TGT),請按照 pam_krb5(8) 說明頁編輯 /etc/pam.d/authorization。例如,如果你要使用的使用者帳號不包含有效的 AuthenticationAuthority 屬性,則必須將default_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:
auth optional pam_krb5.so use_first_pass use_kcminit default_principal
若要在對「螢幕保護程式」進行認證時取得「票卷授予票」(TGT),請按照 pam_krb5(8) 說明頁的指示編輯 /etc/pam.d/screensaver。如同 /etc/pam.d/authorization,如果你要使用的使用者帳號不包含有效的 AuthenticationAuthority 屬性,則必須將default_principal option to the pam_krb5.so line if you'll be using user accounts which don't contain a valid AuthenticationAuthority attribute:
auth optional pam_krb5.so use_first_pass use_kcminit default_principal
以符合下列條件的使用者身分透過登入視窗登出再登入:簡稱與 /etc/krb5.conf 所指定 KDC 的 Kerberos 資料庫中的使用者主要名稱相符。你現在應該會發現,你已透過使用「票券檢視程式」應用程式(位於 /System/Library/CoreServices)或在「終端機」應用程式中執行 klist 取得了 TGT。
更多內容
附註:如果 OS X 伺服器或 Active Directory 伺服器作為 KDC 使用,則本文將不適用。