SituationKerberos-Authentifizierung in macOS Sierra Systemeinstellungen
Wir für Kerberos-Authentifizierung eine macOS Sierra Maschine konfiguriert durch:
- eine geeignete
/etc/krb5.conf
für unsere Organisation Hinzufügen die folgenden Zeilen Zugabe von Anfang
/etc/pam.d/authorization
auth optional pam_krb5.so use_first_pass use_kcminit default_principal
auth sufficient pam_krb5.so use_first_pass default_principal
haben wir weiter die Maschine für die LDAP-Verzeichnisverwendung konfiguriert, indem eine benutzerdefinierte LDAP-Bindung in der Verzeichnisdienste App erstellen:
Users
Rekord KarteninetOrgPerson
- Attributzuordnungen :
AuthenticationAuthority
->uid
EMailAddress
->mail
FirstName
->givenName
NFSHomeDirectory
->#/Users/$uid$
PhoneNumber
->telephoneNumber
PrimaryGroupID
->gidNumber
RealName
->displayName
RecordName
->uid
UniqueID
->uidNumber
UserShell
->loginShell
Das gibt uns ein funktionierendes Netzwerk Login, die gegen Kerberos und LDAP authentifiziert.
Problem
Wenn Netzwerk-Benutzer wollen ihre Bildschirmschoner-Timeout ändern, funktioniert die Benutzerauthentifizierung in den Systemeinstellungen nicht. Der Benutzername ist ausgegraut und das Passwort wird nicht akzeptiert. In den Protokolldateien gibt es keine sichtbaren Hinweise auf die Problemquelle.
Wenn Sie das Unlock-Symbol (linke untere Ecke) für die Systemeinstellungen verwenden, wird das (nicht-Netzwerk) Admin-Konto akzeptiert, aber das spätere Verhalten bleibt gleich.
die Linien oben auf /etc/pam.d/screensaver
Hinzufügen das Problem nicht lösen.
Gibt es eine /etc/pam.d
Konfigurationsdatei, die für den Dialog zur Systemeinstellungen-Authentifizierung in macOS Sierra zuständig ist?
Gibt es eine Möglichkeit, mehr Protokollinformationen von PAM in macOS Sierra zu erhalten?
MacOS Sierra verfügt bereits standardmäßig über eine integrierte Kerberos-SSO-Authentifizierung für Verzeichnisdienste. Ich habe meinen Mac zu einer Active Directory-Domäne hinzugefügt, indem ich (auf dem Mac) zu Systemeinstellungen> Benutzer und Gruppen> Anmeldeoptionen> Netzwerk-Account-Server gehe und die entsprechenden Informationen eintrage. Danach habe ich Single Sign-On für Active Directory erhalten. Ich sehe keinen Mehrwert für die Route, die Sie genommen haben (und für all die zusätzliche Arbeit, die damit verbunden wäre). Ich bin jedoch bereit, anders überredet zu werden. –
Ich spreche nicht von einer Active Directory-Umgebung. In einem solchen Fall hätten Sie völlig Recht. Mein Fall ist eine Universitätsinfrastruktur mit Linux-basierten Kerberos-Servern, Linux-basierten LDAP-Servern und AFS-Dateifreigaben, die nur die Kerberos-Authentifizierung zulassen. –
Verstanden. Danke, dass du zurück bist. –