Ça ne marche pas avec mon OS X virtualisé dans virtualbox … GRRRRR
Ce guide est pour Mac OS X 10.8(Mountain Lion).
L’implémentation de Kerberos sous Lion a beaucoup changé par rapport au version précédente d’OS X.
Avant de commencer, soyez sûr d’utiliser la dernière version d’OS X.
Il est plus facile de commencer avec un installation récente de l’OS et avec un seul compte local (adminlocal par exemple)
Changement sur le serveur
Afin que les clients OS X puissent se connecter au serveur Ubuntu, nous devons légèrement modifier le fichier /etc/krb5.conf sur le serveur en ajoutant à la section libdefaults, la ligne suivante :
allow_weak_crypto = true
Le début du fichier /etc/krb5.conf sur le serveur bidule doit donc ressembler à ceci :
libdefaults]
default_realm = EXEMPLE.LOCAL
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
allow_weak_crypto = true
|
C’est tout, redémarrez le serveur et vous êtes prêt à connecter votre premier client OS X.
Configuration de Kerberos sur le Mac
Premièrement, nous allons créer un fichier /etc/krb5.conf afin que le Mac sache « parler » avec le serveur Kerberos :
adminlocal@mac:$ sudo nano /etc/krb5.conf
Copier le contenu suivant dans le fichier :
[libdefaults]
ticket_lifetime = 36000
default_realm = EXEMPLE.LOCAL
allow_weak_crypto = TRUE
noaddresses = TRUE
forwardable = TRUE[realms]
EXEMPLE.LOCAL = {
kdc = bidule.exemple.local
admin_server = bidule.exemple.local
default_domain = EXEMPLE.LOCAL
}[domain_realm]
.exemple.local = EXEMPLE.LOCAL
exemple.local= EXEMPLE.LOCAL
Maintenant, nous devons dire à OS X d’utiliser Kerberos pour l’authentification. Nous pouvons faire ça en modifiant le fichier /etc/pam.d/authorization
adminlocal@mac:$ sudo nano /etc/pam.d/authorization
Vous devriez d’abord sauvegarder le fichier original, au cas où … puis modifier le fichier avec le contenu suivant :
# authorization: auth account
auth optional pam_krb5.so use_first_pass use_kcminit default_principal
auth sufficient pam_krb5.so use_first_pass default_principal
auth optional pam_ntlm.so use_first_pass
auth required pam_opendirectory.so use_first_pass nullok
account required pam_opendirectory.so
C’est terminé avec Kerberos!
Configuration LDAP
OS X a besoin de savoir où trouver le serveur LDAP et comment lire son contenu. Pour cela, allez dans Préférences Système / Utilisateurs et Groupe.
Sélectionnez « Option de Login » sur le panneau de gauche et cliquez sur le cadenas pour autoriser les modifications.
La première chose à faire est de modifier “display login window as” pour “Name and Password”.
Dans application / Utilities, lancez « Directory Utility »
Cliquez sur « advanced option »
Dans l’onglet Services, sélectionnez LDAPv3, puis l’icône Stylo pour configurer une connexion.
Cliquez sur nouveau, tapez le nom du serveur (bidule.exemple.local)
Dans LDAP Mapping, choisissez le modèle “RFC2307″ et dans la « Searchbase », tapez « dc=exemple,dc=local »
Cliquez sur Continuer, puis « OK »
Cliquez sur le premier bouton des onglets, un bouton vert indique que la connexion au serveur est faite
Un redémarrage et ça devrait fonctionner !!