Jnk (Diskussion | Beiträge) K (Jnk verschob die Seite Single-Sign-On einrichten unter Mac OS X nach Single-Sign-On einrichten (macOS), ohne dabei eine Weiterleitung anzulegen: Betriebssystem Branding aktualisiert) |
|||
| (21 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
{{article | {{article | ||
|type=Anleitung | |type=Anleitung | ||
| − | |os=MacOS | + | |os=MacOS 13 (Ventura), MacOS 14 (Sonoma), MacOS 15 (Sequoia), MacOS 26 (Tahoe) |
| − | |service=Service: | + | |service=Service:Apple-Support, Service:Identitätsmanagement |
| − | |targetgroup=Angestellte, Bereiche, Besucher | + | |targetgroup=Gäste, Angestellte, Bereiche, Besucher, Studierende |
| − | |hasdisambig= | + | |hasdisambig=Ja |
| + | |disambiguation=Single-Sign-On einrichten | ||
}} | }} | ||
| − | + | Unter macOS können Sie Single-Sign-On durch Kerberos ohne Installation zusätzlicher Software nutzen. | |
<br clear=all> | <br clear=all> | ||
== Was ist zu tun? == | == Was ist zu tun? == | ||
| Zeile 15: | Zeile 16: | ||
== Schritt-für-Schritt-Anleitung == | == Schritt-für-Schritt-Anleitung == | ||
| − | Um unter | + | Um unter macOS ein Kerberos-Ticket zu erhalten, stehen Ihnen zwei Möglichkeiten zur Verfügung: |
| − | + | # Die Nutzung des Terminals | |
| − | + | # Die Verwendung einer grafischen Oberfläche mit Hilfe des Ticket-Viewers. | |
<br clear=all> | <br clear=all> | ||
=== Kerberos-Ticket über das Terminal === | === Kerberos-Ticket über das Terminal === | ||
| − | Starten Sie das Terminal. | + | * Starten Sie das Terminal. Am einfachsten geht das über die Spotlight-Suche. |
| − | + | * Alternativ finden Sie das Terminal im Finder unter ''Programme / Dienstprogramme / Terminal'' | |
| − | |||
| − | + | [[Datei:Single-sign-on-einrichten-macos-02.png|links|mini|ohne|450px]] | |
| − | + | <br> | |
| − | + | * Geben Sie im Terminal folgendes ein: | |
| − | + | * <code> kinit benutzername@UNI-PADERBORN.DE </code> | |
| − | + | * Ersetzen Sie ''benutzername'' durch Ihren Uni-Account. | |
| − | + | * Geben Sie das Passwort für den Uni-Account ein | |
| − | + | * Bestätigen Sie die Eingabe mit der Enter-Taste. | |
| + | * <span style="color:Orange">Hinweis:</span> Sie können das Passwort im Terminal nicht sehen. Der Cursor wird sich bei der Eingabe des Passwortes nicht bewegen. Die Eingabe funktioniert jedoch trotzdem. | ||
| + | <br clear=all> | ||
| + | [[Datei:Single-sign-on-einrichten-macos-04.png|links|mini|ohne|450px|Hier sehen Sie noch einmal alle Aktionen: (1) kinit benutzername@UNI-PADERBORN.DE, (2) Passwort eingeben, (3) Status mit klist prüfen, (4) Ausstellungs- und Ablaufdatum des Tickets]] | ||
| + | * Den Status Ihres Tickets können Sie mit folgendem Befehl prüfen: <code> klist </code> | ||
| + | * Der Befehl listet alle gülten Tickets auf. | ||
<br clear=all> | <br clear=all> | ||
| − | |||
=== Kerberos-Ticket über den Ticket-Viewer === | === Kerberos-Ticket über den Ticket-Viewer === | ||
| + | Wenn Sie eine grafische Oberfläche bevorzugen, können Sie sich über den Ticket-Viewer von macOS anmelden. Sie finden in am einfachsten über die Spotlight-Suche. | ||
| + | [[Datei:Single-sign-on-einrichten-macos-01.png|links|mini|ohne|450px|Ticket Viewer]] | ||
| + | <br clear=all> | ||
| − | + | [[Datei:Single-sign-on-einrichten-macos-03.png|links|mini|ohne|450px]] | |
| − | + | <br> | |
| − | + | * Klicken Sie auf '''"Identität hinzufügen"''' um ein neues Ticket zu erstellen. (1 im oberen Teil des Screenshots) | |
| − | + | * Geben Sie '''"benutzername@UNI-PADERBORN.DE"''' ein. (1 im mittleren Teil des Screenshots) | |
| − | + | * Ersetzen Sie ''benutzename'' durch Ihren persönlichen Uni-Account. | |
| + | * Beachten Sie die Großschreibung von ''UNI-PADERBORN.DE''. | ||
| + | * Melden Sie sich mit dem Passwort für den Uni-Account an. (2 im mittleren Teil des Screenshots). Klicken Sie zum Schluss auf Fortfahren (3 im mittleren Teil des Screenshots). | ||
| + | * Das Ticket gilt 10 Stunden - Innerhalb dieser Zeit können Sie es jederzeit über '''Aktualisieren''' (siehe Pfeil) erneuern. | ||
<br clear=all> | <br clear=all> | ||
| Zeile 47: | Zeile 57: | ||
<br> | <br> | ||
Möchten Sie Firefox für die Anwendung mit Kerberos konfigurieren, folgen Sie bitte der Anleitung unter folgendem Link: | Möchten Sie Firefox für die Anwendung mit Kerberos konfigurieren, folgen Sie bitte der Anleitung unter folgendem Link: | ||
| + | * [[Single-Sign-On einrichten in Firefox]] | ||
| + | |||
| + | Für die Verwendung von Thunderbird mit Kerberos müssen Sie einige Einstellungen vornehmen. Welche das im Detail sind, erfahren Sie unter folgendem Link: | ||
| + | * [[Single-Sign-On einrichten in Thunderbird]] | ||
| − | + | == Fehlerbehebung == | |
| + | Falls Kerberos trotz allem nicht funktioniert (vor allem bei ssh), kann man die Kerberos Konfiguration anpassen. Der Grund ist, dass "kinit" das TGT im MacOS Kernel hält und SSH dort nicht darauf zugreifen kann bzw. nicht weiß, dass es dort gucken muss. Das ist der Fall, wenn "klist" KCM als Ort für das TGT angibt. | ||
| − | + | Der einfachste und getestete Workaround für dieses Problem ist, das TGT als Datei abzulegen. Dazu die /etc/krb5.conf editieren (Adminrechte erforderlich).<syntaxhighlight lang="shell"> | |
| + | #Anpassung der libdefaults unter: /etc/krb5.conf | ||
| + | |||
| + | [libdefaults] | ||
| + | # hinzufuegen falls noch nicht in der Datei vorhanden | ||
| + | default_ccache_name = FILE:/tmp/krb5cc_%{uid} | ||
| + | </syntaxhighlight>Alternativ, wenn keine Adminrechte vorhanden sind, kann man für die aktuelle Shell den Pfad setzen.<syntaxhighlight lang="shell"> | ||
| + | export KRB5CCNAME=FILE:/tmp/krb5cc_$(id -u) | ||
| + | kinit user@UNI-PADERBORN.DE | ||
| + | ssh user@host | ||
| + | </syntaxhighlight> | ||
| − | [[ | + | ==Siehe auch== |
| − | + | * [[Anmeldedienst]] | |
Aktuelle Version vom 22. April 2026, 11:00 Uhr
| Anleitung | |
|---|---|
 Apple MacOS | |
| Informationen | |
| Betriebssystem | MacOS 13 (Ventura), MacOS 14 (Sonoma), MacOS 15 (Sequoia) und MacOS 26 (Tahoe) |
| Service | Anmeldedienst und Apple-Support |
| Interessant für | Gäste, Angestellte, Bereiche, Besucher und Studierende |
| MacOS Portalseite | |
For other articles about this topic, see Single-Sign-On einrichten
Unter macOS können Sie Single-Sign-On durch Kerberos ohne Installation zusätzlicher Software nutzen.
Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]
- Ticket beantragen
- Konfigurieren der gewünschten Anwendung
Schritt-für-Schritt-Anleitung[Bearbeiten | Quelltext bearbeiten]
Um unter macOS ein Kerberos-Ticket zu erhalten, stehen Ihnen zwei Möglichkeiten zur Verfügung:
- Die Nutzung des Terminals
- Die Verwendung einer grafischen Oberfläche mit Hilfe des Ticket-Viewers.
Kerberos-Ticket über das Terminal[Bearbeiten | Quelltext bearbeiten]
- Starten Sie das Terminal. Am einfachsten geht das über die Spotlight-Suche.
- Alternativ finden Sie das Terminal im Finder unter Programme / Dienstprogramme / Terminal
- Geben Sie im Terminal folgendes ein:
kinit benutzername@UNI-PADERBORN.DE- Ersetzen Sie benutzername durch Ihren Uni-Account.
- Geben Sie das Passwort für den Uni-Account ein
- Bestätigen Sie die Eingabe mit der Enter-Taste.
- Hinweis: Sie können das Passwort im Terminal nicht sehen. Der Cursor wird sich bei der Eingabe des Passwortes nicht bewegen. Die Eingabe funktioniert jedoch trotzdem.
- Den Status Ihres Tickets können Sie mit folgendem Befehl prüfen:
klist - Der Befehl listet alle gülten Tickets auf.
Kerberos-Ticket über den Ticket-Viewer[Bearbeiten | Quelltext bearbeiten]
Wenn Sie eine grafische Oberfläche bevorzugen, können Sie sich über den Ticket-Viewer von macOS anmelden. Sie finden in am einfachsten über die Spotlight-Suche.
- Klicken Sie auf "Identität hinzufügen" um ein neues Ticket zu erstellen. (1 im oberen Teil des Screenshots)
- Geben Sie "benutzername@UNI-PADERBORN.DE" ein. (1 im mittleren Teil des Screenshots)
- Ersetzen Sie benutzename durch Ihren persönlichen Uni-Account.
- Beachten Sie die Großschreibung von UNI-PADERBORN.DE.
- Melden Sie sich mit dem Passwort für den Uni-Account an. (2 im mittleren Teil des Screenshots). Klicken Sie zum Schluss auf Fortfahren (3 im mittleren Teil des Screenshots).
- Das Ticket gilt 10 Stunden - Innerhalb dieser Zeit können Sie es jederzeit über Aktualisieren (siehe Pfeil) erneuern.
Konfigurieren der gewünschten Anwendung[Bearbeiten | Quelltext bearbeiten]
Nun muss noch die gewünschte Anwendung konfiguriert werden, in der Sie Single-Sign-On nutzen wollen.
Möchten Sie Firefox für die Anwendung mit Kerberos konfigurieren, folgen Sie bitte der Anleitung unter folgendem Link:
Für die Verwendung von Thunderbird mit Kerberos müssen Sie einige Einstellungen vornehmen. Welche das im Detail sind, erfahren Sie unter folgendem Link:
Fehlerbehebung[Bearbeiten | Quelltext bearbeiten]
Falls Kerberos trotz allem nicht funktioniert (vor allem bei ssh), kann man die Kerberos Konfiguration anpassen. Der Grund ist, dass "kinit" das TGT im MacOS Kernel hält und SSH dort nicht darauf zugreifen kann bzw. nicht weiß, dass es dort gucken muss. Das ist der Fall, wenn "klist" KCM als Ort für das TGT angibt.
Der einfachste und getestete Workaround für dieses Problem ist, das TGT als Datei abzulegen. Dazu die /etc/krb5.conf editieren (Adminrechte erforderlich).
#Anpassung der libdefaults unter: /etc/krb5.conf
[libdefaults]
# hinzufuegen falls noch nicht in der Datei vorhanden
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
Alternativ, wenn keine Adminrechte vorhanden sind, kann man für die aktuelle Shell den Pfad setzen.
export KRB5CCNAME=FILE:/tmp/krb5cc_$(id -u)
kinit user@UNI-PADERBORN.DE
ssh user@host
