2017-03-10 8 views
1

SituationKerberos-Authentifizierung in macOS Sierra Systemeinstellungen

Wir für Kerberos-Authentifizierung eine macOS Sierra Maschine konfiguriert durch:

  • eine geeignete /etc/krb5.conf für unsere Organisation Hinzufügen
  • die folgenden Zeilen Zugabe von Anfang /etc/pam.d/authorization

    auth optional pam_krb5.so use_first_pass use_kcminit default_principal

    auth sufficient pam_krb5.so use_first_pass default_principal

haben wir weiter die Maschine für die LDAP-Verzeichnisverwendung konfiguriert, indem eine benutzerdefinierte LDAP-Bindung in der Verzeichnisdienste App erstellen:

  • Users Rekord Karten inetOrgPerson
  • Attributzuordnungen :
    • AuthenticationAuthority ->uid
    • EMailAddress ->mail
    • FirstName ->givenName
    • NFSHomeDirectory ->#/Users/$uid$
    • PhoneNumber ->telephoneNumber
    • PrimaryGroupID ->gidNumber
    • RealName ->displayName
    • RecordName ->uid
    • UniqueID ->uidNumber
    • UserShell ->loginShell

Das gibt uns ein funktionierendes Netzwerk Login, die gegen Kerberos und LDAP authentifiziert.

Problem

Wenn Netzwerk-Benutzer wollen ihre Bildschirmschoner-Timeout ändern, funktioniert die Benutzerauthentifizierung in den Systemeinstellungen nicht. Der Benutzername ist ausgegraut und das Passwort wird nicht akzeptiert. In den Protokolldateien gibt es keine sichtbaren Hinweise auf die Problemquelle.

Wenn Sie das Unlock-Symbol (linke untere Ecke) für die Systemeinstellungen verwenden, wird das (nicht-Netzwerk) Admin-Konto akzeptiert, aber das spätere Verhalten bleibt gleich.

die Linien oben auf /etc/pam.d/screensaver Hinzufügen das Problem nicht lösen.

Gibt es eine /etc/pam.d Konfigurationsdatei, die für den Dialog zur Systemeinstellungen-Authentifizierung in macOS Sierra zuständig ist?

Gibt es eine Möglichkeit, mehr Protokollinformationen von PAM in macOS Sierra zu erhalten?

+0

MacOS Sierra verfügt bereits standardmäßig über eine integrierte Kerberos-SSO-Authentifizierung für Verzeichnisdienste. Ich habe meinen Mac zu einer Active Directory-Domäne hinzugefügt, indem ich (auf dem Mac) zu Systemeinstellungen> Benutzer und Gruppen> Anmeldeoptionen> Netzwerk-Account-Server gehe und die entsprechenden Informationen eintrage. Danach habe ich Single Sign-On für Active Directory erhalten. Ich sehe keinen Mehrwert für die Route, die Sie genommen haben (und für all die zusätzliche Arbeit, die damit verbunden wäre). Ich bin jedoch bereit, anders überredet zu werden. –

+0

Ich spreche nicht von einer Active Directory-Umgebung. In einem solchen Fall hätten Sie völlig Recht. Mein Fall ist eine Universitätsinfrastruktur mit Linux-basierten Kerberos-Servern, Linux-basierten LDAP-Servern und AFS-Dateifreigaben, die nur die Kerberos-Authentifizierung zulassen. –

+0

Verstanden. Danke, dass du zurück bist. –

Antwort

0

Nicht sicher, was das mit SSO zu tun hat? Die Pam.d-Einstellungen, die Sie oben aufgelistet haben, ermöglichen die Erneuerung des Kerberos-Tickets beim Entsperren des Bildschirmschoners, das ist es.

Haben Sie Profile installiert, die die Änderung stoppen? Ich habe ein Profil angewendet, bei dem der Bildschirmschoner nach 10 Minuten Aktivität gestartet werden muss. Selbst wenn Sie das Einstellungsfeld entsperren, können Sie die Änderung nicht vornehmen.

Wenn Ihr lokaler Administrator die Änderung nicht vornehmen kann, handelt es sich wahrscheinlich um ein Sicherheitsprofil, das festgelegt wurde.

Wenn Sie das Profil ändern oder entfernen und der Administrator dann den Bildschirmschoner ändern kann, sollten Sie gut sein.