OS X Lion:啟用使用協力廠商密鑰分配中心的 Kerberos 驗證

本文說明如何設定 OS X Lion 根據協力廠商密鑰分配中心(KDC)進行驗證。

  1. 根據 kbr5.conf(5) 手冊頁面的指示,建立包含網站特定資訊的 /etc/krb5.conf。以下是 basic krb5.conf 檔案的範例:
    [libdefaults]
    	default_realm = EXAMPLE.COM
    [realms]
    	EXAMPLE.COM = {
    		admin_server = kdc.example.com
    		kdc = kdc.example.com
    		kpasswd = kdc.example.com
    	}
  2. 為了在透過登入視窗登入時取得「票卷授與票(TGT)」,請根據 pam_krb5(8) 手冊頁面的指示,編輯 /etc/pam.d/authorization。例如,如果要使用的使用者帳號未含有效 AuthenticationAuthority 屬性時,就必須將 default_principal 選項加至 pam_krb5.so 行。
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  3. 為了在向螢幕保護程式驗證時取得「票卷授與票(TGT)」,請根據 pam_krb5(8) 手冊頁面的指示,編輯 /etc/pam.d/screensaver。如同 /etc/pam.d/authorization,如果要使用的使用者帳號未含有效 AuthenticationAuthority 屬性時,就必須將 default_principal 選項加至 pam_krb5.so 行:
    auth       optional       pam_krb5.so use_first_pass use_kcminit default_principal
  4. 以使用者(其簡稱必需符合 /etc/krb5.conf 所指定 KDC 的 Kerberos 資料庫中的使用者主體)的身分,透過登入視窗登出再重新登入。您現在應該可使用「票券檢視程式」應用程式,或在「終端機」應用程式中執行 klist,查看是否已取得 TGT(位於 /系統/資源庫/CoreServices)。

更多內容

附註:如果 OS X Server 或 Active Directory 伺服器將用作 KDC,則本文不適用。

發佈日期: