Có thể kích hoạt kerberos trên OS X 10.9 mà không cần tham gia miền Active Directory không?

0

Tôi muốn có thể tận dụng Kerberos mà không cần phải tham gia máy của tôi vào miền.

Tại sao? Bởi vì đây là một máy cá nhân và chúng tôi không được phép tham gia với họ tên miền công ty (chúng tôi cũng không thể).

mountain-lion  domain  kerberos 
sorin
nguồn
1
OS X tự động thiết lập KDC và sử dụng nội bộ cho dù bạn có tham gia tên miền hay không. Cụ thể bạn đang cố gắng làm gì? Kerberos có mặt để sử dụng trừ khi cài đặt của bạn đã vô hiệu hóa hoặc cấu hình nó để không hoạt động theo một cách nào đó.
bmike
Có cách nào để nói với OS X người dùng / mật khẩu nào cho người dùng cho kerberos nếu điều đó xảy ra với bạn không có cùng một người dùng hoặc mật khẩu trên máy cục bộ của bạn không?
sorin
@bmike vì vậy máy khách kerberos không được cấu hình tự động, không thể vì nó không biết tên miền của bạn. Tôi đã có thể lấy một vé từ dòng lệnh và xác thực bằng cách sử dụng CURL. Vé có thể nhìn thấy trong Ticket Viewer nhưng không có trình duyệt nào đang sử dụng nó. Ngay sau khi tôi có một giải pháp tôi sẽ cập nhật, bất kỳ gợi ý nào sẽ được chào đón nhiều hơn.
sorin
1
Tôi đã "tận dụng lợi thế của kerberos mà không cần tham gia một tên miền" khi bạn chỉ ở chế độ độc lập. Rõ ràng, nếu bạn cần truy cập Máy chủ xác thực từ xa nếu bạn muốn lấy vé từ máy chủ đó để sử dụng trên máy chủ cục bộ. Tôi nghĩ rằng bạn cần máy chủ OS X để thiết lập KDC tối thiểu, do đó, "tự động" của tôi sẽ không giúp ích cho các máy Mac không server.app. Đừng đăng thiết lập của bạn khi bạn có một cái gì đó làm việc ra. Tôi tò mò có bao nhiêu cảnh giới bạn đã thiết lập và thiết lập máy khách cụ thể nào hoạt động trong trường hợp đó.
bmike

Câu trả lời:

1

Đây là một phần thành công của tôi cho đến nay. Tôi đã có thể thiết lập xác thực Kerberos nhưng chỉ trên Firefox và Google Chrome, trên Safari nó không hoạt động và dường như không thể làm cho nó hoạt động mà không thực sự tham gia vào miền.

Cài đặt OS X Kerberos

>kinit username@EXAMPLE.COM

>klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user@EXAMPLE.COM
Valid starting     Expires            Service principal
06/05/14 11:36:00  06/05/14 21:36:06  krbtgt/EXAMPLE.COM@EXAMPLE.COM
        renew until 07/05/14 11:36:00

Bây giờ bạn có thể sử dụng /System/Library/CoreServices/Ticket Viewer.appđể xem vé, hoặc gia hạn khi hết hạn.

XOĂN

 curl -v --negotiate -u : -b ~/cookiejar.txt -c ~/cookiejar.txt --output /dev/null http://example.com

Firefox

đi đến about:configvà cấu hìnhnetwork.negotiate-auth.trusted-uris: .example.com

Chrome

defaults write com.google.Chrome AuthServerWhitelist "*.example.com"
defaults write com.google.Chrome AuthNegotiateDelegateWhitelist "*.example.com"

Safari [bị hỏng!]

Dựa trên https://www.pingidentity.com/support/solutions/index.cfm/How-to-configure-supported-browsers-for-Kerberos-NTLM#safari có vẻ như Safari sẽ chỉ sử dụng SPNEGO khi được tham gia lĩnh vực. Nếu không, nó sẽ chỉ thử NTLM có thể bị vô hiệu hóa là không an toàn.

Bất kỳ đóng góp đều được hoan nghênh!

sorin
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.