Apakah mungkin untuk mengaktifkan kerberos di OS X 10.9 tanpa bergabung dengan domain Active Directory?

0

Saya ingin dapat memanfaatkan Kerberos tanpa harus bergabung dengan mesin saya ke domain.

Mengapa? Karena ini adalah mesin pribadi dan kami tidak diizinkan untuk bergabung dengan mereka dengan domain perusahaan (kami juga tidak bisa).

mountain-lion domain kerberos Sorin
sumber
1
OS X mengatur KDC secara otomatis dan menggunakannya secara internal apakah Anda bergabung dengan suatu domain atau tidak. Apa yang khusus Anda coba lakukan? Kerberos ada untuk digunakan kecuali instalasi Anda telah menonaktifkannya atau mengkonfigurasinya agar tidak berfungsi dengan cara tertentu.
bmike
Apakah ada cara untuk memberi tahu OS X mana pengguna / kata sandi kepada pengguna untuk kerberos jika itu terjadi agar Anda tidak memiliki pengguna atau kata sandi yang sama pada mesin lokal Anda?
sorin
@bmike sehingga klien kerberos tidak dikonfigurasi secara otomatis, tidak mungkin karena tidak tahu domain Anda. Saya dapat memperoleh tiket dari baris perintah dan untuk mengautentikasi menggunakan CURL. Tiket terlihat di Penampil Tiket tetapi tidak ada browser yang menggunakannya. Segera setelah saya memiliki solusi saya akan memperbarui, setiap petunjuk akan lebih dari disambut.
Sorin
1
Saya mengambil "manfaatkan kerberos tanpa bergabung dengan domain" karena Anda hanya dalam mode mandiri. Jelas, jika Anda perlu mengakses Server Otentikasi yang jauh jika Anda ingin mendapatkan tiket dari server itu untuk digunakan pada host lokal. Saya pikir Anda memerlukan server OS X untuk memiliki set KDC minimal, jadi "otomatis" saya tidak akan membantu pada Mac non server.app. Apakah memposting pengaturan Anda setelah Anda memiliki sesuatu yang berhasil. Saya ingin tahu berapa banyak bidang yang telah Anda atur dan pengaturan klien apa yang berfungsi dalam kasus itu.
bmike

Jawaban:

1

Ini adalah keberhasilan parsial saya sejauh ini. Saya dapat mengatur otentikasi Kerberos tetapi hanya di Firefox dan Google Chrome, di Safari tidak berfungsi dan tampaknya mustahil untuk membuatnya berfungsi tanpa benar-benar bergabung dengan domain.

Pengaturan OS X Kerberos

>kinit [email protected]

>klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]
Valid starting     Expires            Service principal
06/05/14 11:36:00  06/05/14 21:36:06  krbtgt/[email protected]
        renew until 07/05/14 11:36:00

Sekarang Anda dapat menggunakan /System/Library/CoreServices/Ticket Viewer.appuntuk melihat tiket, atau untuk memperbaruinya saat kedaluwarsa.

IKAL

 curl -v --negotiate -u : -b ~/cookiejar.txt -c ~/cookiejar.txt --output /dev/null http://example.com

Firefox

buka about:configdan konfigurasikannetwork.negotiate-auth.trusted-uris: .example.com

Chrome

defaults write com.google.Chrome AuthServerWhitelist "*.example.com"
defaults write com.google.Chrome AuthNegotiateDelegateWhitelist "*.example.com"

Safari [rusak!]

Berdasarkan https://www.pingidentity.com/support/solutions/index.cfm/How-to-configure-supported-browsers-for-Kerberos-NTLM#safari tampaknya Safari hanya akan menggunakan SPNEGO saat digabungkan ke domain. Kalau tidak, itu hanya akan mencoba NTLM yang mungkin dinonaktifkan sebagai tidak aman.

Setiap kontribusi lebih dari disambut!

Sorin
sumber