it-swarm-ja.com

SafariはデフォルトのKerberosチケットを使用してSPNEGO認証をどのように行うことができますか?

パススルー認証を使用し、ユーザーを自動的にサインインするWebサイト(イントラネットサイト外)があります。このアプリケーションは、Windowsマシンを使用しているときにシームレスに動作します。すべてのWindowsマシンはWindows764ビットです。敷地内にいくつかのMacOSマシンがあり、Macにも自動的にサインインさせたいと考えています。彼らはADを使用してサインインしているので、これを機能させる方法があると思います。

Macはバージョン10.7および10.8です。どちらも機能しません。ログインボックスが表示され、ネットワーク名とパスワードを入力すると機能し、ログインできるようになります。これを自動的に行う方法があるかどうか疑問に思います。 WebサイトはWordPressを使用して構築されました。どんな助けでも大歓迎です。重要な情報を省略してしまった場合は申し訳ありません。

2
Ryan Ash

彼らはADを使用してサインインしているので、これを機能させる方法があると思います。

これは、ユーザーがADのユーザー名とパスワードを使用してOS Xにログインすることを意味しますか?その場合、ログインするとすでにKerberos資格情報を持っている可能性があります。これを確認するには、ターミナルプロンプトからklistコマンドを使用します。次のようなものが表示されます。

$ klist
Credentials cache: API:17DFC650-1327-4721-92ED-A0099CA09885
        Principal: [email protected]

  Issued                Expires               Principal
Mar 10 01:17:16 2014  Mar 10 09:17:16 2014  krbtgt/[email protected]

そうでない場合は、コマンドプロンプトからkinit user @ REALMを使用して認証します。 REALMはADドメイン名になります。 MIT Kerberosに基づいていた場合、プログラムがKerberosを必要とし、ユーザーが認証されなかった場合、AppleのKerberos実装は自動的にGUIパネルを表示しました。残念ながら、Heimdalに切り替えたときに、この素​​晴らしい機能を削除しました。 、そして今、あなたはそれを手動でしなければなりません。

環境によっては、これを機能させるために他の構成も必要になる場合がありますが、これはどのような場合でも必要であり、すべてが便利にセットアップされている場合(たとえば、KDCはDNS、Webを介して検出可能)、これと残りは機能する可能性があります。サーバープリンシパル名は、デフォルトのルールなどを使用してDNS名から適切に決定されます。そうでない場合は、他に何をする必要があるかを理解するのに役立ちます。

可能です。ログインプロンプトなしで、MacのSafariを使用してNegotiateWISで保護されたイントラネットサイトにログインできます。

[システム環境設定]> [ユーザーとグループ]> [ログインオプション]で[ネットワークアカウントサーバー]を追加して、コンピューターをドメインに参加させる必要がありました。

Active Directoryアカウントを使用してログインすると、プロンプトなしでSafariでセキュリティで保護されたサイトを開くことができます。

1
Aardvark