Gestion d’un domain sous Ubuntu – 9 – Configurer des clients Mac OS X –

Ça ne marche pas avec mon OS X virtualisé dans virtualbox … GRRRRR

 

Ce guide est pour Mac OS X 10.8(Mountain Lion).

L’implémentation de Kerberos sous Lion a beaucoup changé par rapport au version précédente d’OS X.

Avant de commencer, soyez sûr d’utiliser la dernière version d’OS X.

Il est plus facile de commencer avec un installation récente de l’OS et avec un seul compte local (adminlocal par exemple)

Changement sur le serveur

Afin que les clients OS X puissent se connecter au serveur Ubuntu, nous devons légèrement modifier le fichier /etc/krb5.conf sur le serveur en ajoutant à la section libdefaults, la ligne suivante :

allow_weak_crypto = true

Le début du fichier /etc/krb5.conf sur le serveur bidule doit donc ressembler à ceci :

libdefaults]
        default_realm = EXEMPLE.LOCAL

# The following krb5.conf variables are only for MIT Kerberos.
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        allow_weak_crypto = true

C’est tout, redémarrez le serveur et vous êtes prêt à connecter votre premier client OS X.

Configuration de Kerberos sur le Mac

Premièrement, nous allons créer un fichier /etc/krb5.conf afin que le Mac sache « parler » avec le serveur Kerberos :

adminlocal@mac:$ sudo nano /etc/krb5.conf

Copier le contenu suivant dans le fichier :

[libdefaults]
ticket_lifetime = 36000
default_realm = EXEMPLE.LOCAL
allow_weak_crypto = TRUE
noaddresses = TRUE
forwardable = TRUE

[realms]
EXEMPLE.LOCAL = {
kdc = bidule.exemple.local
admin_server = bidule.exemple.local
default_domain = EXEMPLE.LOCAL
}

[domain_realm]
.exemple.local = EXEMPLE.LOCAL
exemple.local= EXEMPLE.LOCAL

Maintenant, nous devons dire à OS X d’utiliser Kerberos pour l’authentification. Nous pouvons faire ça en modifiant le fichier /etc/pam.d/authorization

adminlocal@mac:$ sudo nano /etc/pam.d/authorization

Vous devriez d’abord sauvegarder le fichier original, au cas où … puis modifier le fichier avec le contenu suivant :

# authorization: auth account
auth optional pam_krb5.so use_first_pass use_kcminit default_principal
auth sufficient pam_krb5.so use_first_pass default_principal
auth optional pam_ntlm.so use_first_pass
auth required pam_opendirectory.so use_first_pass nullok
account required pam_opendirectory.so

C’est terminé avec Kerberos!

Configuration LDAP

OS X a besoin de savoir où trouver le serveur LDAP et comment lire son contenu. Pour cela, allez dans Préférences Système / Utilisateurs et Groupe.
Sélectionnez « Option de Login » sur le panneau de gauche et cliquez sur le cadenas pour autoriser les modifications.

La première chose à faire est de modifier “display login window as” pour “Name and Password”.

Dans application / Utilities, lancez « Directory Utility »

Cliquez sur « advanced option »

Dans l’onglet Services, sélectionnez LDAPv3, puis l’icône Stylo pour configurer une connexion.

Cliquez sur nouveau, tapez le nom du serveur (bidule.exemple.local)

Dans LDAP Mapping, choisissez le modèle “RFC2307″ et dans la « Searchbase », tapez « dc=exemple,dc=local »

Cliquez sur Continuer, puis « OK »

Cliquez sur le premier bouton des onglets, un bouton vert indique que la connexion au serveur est faite

Un redémarrage et ça devrait fonctionner !!

 

Webographie :

https://wiki.inf.ed.ac.uk/SelfManaged/MacOSXKerberos

http://www.danbishop.org/2012/06/02/ubuntu-12-04-ultimate-server-guide/9/#part-9-connecting-mac-os-x-clients

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*