Kerberos認証

我々はでKerberos認証のためのMacOSシエラ・マシンを構成し：で次の行を追加する我々の組織

のための適切な/etc/krb5.confを追加

初めは/etc/pam.d/authorization
属性マッピングに
- Usersレコードマップ：私たちは、さらに、ディレクトリ・サービス・アプリでバインディングカスタムLDAPを作成することによって、LDAPディレクトリの使用のためにマシンを構成し0
  
  auth sufficient pam_krb5.so use_first_pass default_principal
：
- AuthenticationAuthority - >uid
- - >mail
- FirstName - >givenName
- NFSHomeDirectory - >#/Users/$uid$
- PhoneNumber - >telephoneNumber
- PrimaryGroupID - >gidNumber
- RealName - >displayName
- RecordName - >uid
- UniqueID - >uidNumber
- UserShell - >loginShell

これは私たちにKerberosとLDAPに対して認証作業ネットワークへのログインを提供します。

問題

ネットワークユーザーが自分のスクリーンセーバーのタイムアウトを変更したい場合は、システム設定でユーザー認証が動作しません。ユーザー名はグレー表示され、パスワードは受け入れられません。ログファイルには、問題の原因に関する目に見える表示はありません。

システム設定のロック解除記号（左下隅）を使用すると、（非ネットワーク）管理者アカウントは受け入れられますが、その後の動作は変わりません。

上記の行を/etc/pam.d/screensaverに追加しても問題は解決しません。

macOS Sierraのシステム設定認証ダイアログボックスには、/etc/pam.d設定ファイルがありますか？

macOS SierraのPAMからより多くのログ情報を取得する方法はありますか？

出典

2017-03-10 Peter Tröger

MacOS SierraにはデフォルトでディレクトリサービスへのKerberos SSO認証がすでに組み込まれています。私は、（Macでは）システム環境設定>ユーザーとグループ>ログインオプション>ネットワークアカウントサーバーに行き、適切な情報を入力することで、MacをActive Directoryドメインに参加させました。その後、Active Directoryにシングルサインオンしました。私はあなたが取ったルートに付加価値があるとは見えません。私は別の方法で説得されても構わないと思う。 –

私はActive Directory環境については言及していません。そのような場合、あなたは完全に正しいでしょう。私の場合は、LinuxベースのKerberosサーバー、LinuxベースのLDAPサーバー、およびKerberos認証のみを許可するAFSファイル共有を持つ大学のインフラストラクチャです。 –

。帰ってくれてありがとう。 –

これはSSOと何が関係しているのかよく分かりませんか？上記のpam.dの設定では、スクリーンセーバーのロックを解除するときにkerberosチケットを更新することができます。

変更を停止するプロファイルがインストールされていますか。 10分のアクティビティ後にスクリーンセーバーを開始する必要があるプロファイルを適用しました。設定パネルのロックを解除しても、変更はできません。

ローカル管理者が変更を行うことができない場合は、おそらく設定されているセキュリティプロファイルになります。

プロファイルを変更または削除してから、管理者がスクリーンセーバーを変更できる場合は、すばらしいはずです。

出典

2017-06-30 20:00:53 jnice22

答えて

関連する問題