Single-Sign-On einrichten (macOS): Unterschied zwischen den Versionen

Apple-Support

Anleitung
Apple MacOS
Informationen
Betriebssystem	MacOS 13 (Ventura), MacOS 14 (Sonoma) und MacOS 15 (Sequoia)
Service	Anmeldedienst und Apple-Support
Interessant für	Gäste, Angestellte, Bereiche, Besucher und Studierende
MacOS Portalseite

no displaytitle found: Single-Sign-On einrichten (macOS)

Unter macOS können Sie Single-Sign-On durch Kerberos ohne Installation zusätzlicher Software nutzen.

Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]

• Ticket beantragen
• Konfigurieren der gewünschten Anwendung

Schritt-für-Schritt-Anleitung[Bearbeiten | Quelltext bearbeiten]

Um unter Mac Os X ein Kerberos-Ticket zu erhalten, stehen Ihnen zwei Möglichkeiten zur Verfügung:

1. Die Nutzung des Terminals
2. Die Verwendung einer grafischen Oberfläche mit Hilfe des Ticket-Viewers.

Kerberos-Ticket über das Terminal[Bearbeiten | Quelltext bearbeiten]

• Starten Sie das Terminal. Am einfachsten geht das über die Spotlight-Suche.
• Alternativ finden Sie das Terminal im Finder unter Programme / Dienstprogramme / Terminal

• Geben Sie im Terminal folgendes ein:
• kinit benutzername@UNI-PADERBORN.DE
• Ersetzen Sie benutzername durch Ihren Uni-Account.
• Geben Sie das Passwort für den Uni-Account ein
• Bestätigen Sie die Eingabe mit der Enter-Taste.
• Hinweis: Sie können das Passwort im Terminal nicht sehen. Der Cursor wird sich bei der Eingabe des Passwortes nicht bewegen. Die Eingabe funktioniert jedoch trotzdem.

• Den Status Ihres Tickets können Sie mit folgendem Befehl prüfen: klist
• Der Befehl listet alle gülten Tickets auf.

Kerberos-Ticket über den Ticket-Viewer[Bearbeiten | Quelltext bearbeiten]

Wenn Sie eine grafische Oberfläche bevorzugen, können Sie sich über den Ticket-Viewer von macOS anmelden. Sie finden in am einfachsten über die Spotlight-Suche.

Ticket Viewer

• Klicken Sie auf "Identität hinzufügen" um ein neues Ticket zu erstellen. (1)
• Geben Sie "benutzername@UNI-PADERBORN.DE" ein.
• Ersetzen Sie benutzename durch Ihren persönlichen Uni-Account.
• Beachten Sie die Großschreibung von UNI-PADERBORN.DE.
• Melden Sie sich mit dem Passwort für den Uni-Account an.
• Das Ticket gilt 24 Stunden - Innerhalb dieser Zeit können Sie es jederzeit über Aktualisieren (2) erneuern.

Konfigurieren der gewünschten Anwendung[Bearbeiten | Quelltext bearbeiten]

Nun muss noch die gewünschte Anwendung konfiguriert werden, in der Sie Single-Sign-On nutzen wollen.
Möchten Sie Firefox für die Anwendung mit Kerberos konfigurieren, folgen Sie bitte der Anleitung unter folgendem Link:

• Single-Sign-On einrichten in Firefox

Für die Verwendung von Thunderbird mit Kerberos müssen Sie einige Einstellungen vornehmen. Welche das im Detail sind, erfahren Sie unter folgendem Link:

• Single-Sign-On einrichten in Thunderbird

Fehlerbehebung[Bearbeiten | Quelltext bearbeiten]

Falls Kerberos trotz allem nicht funktioniert (vor allem bei ssh), kann man die Kerberos Konfiguration anpassen. Der Grund ist, dass "kinit" das TGT im MacOS Kernel hält und SSH dort nicht darauf zugreifen kann bzw. nicht weiß, dass es dort gucken muss. Das ist der Fall, wenn "klist" KCM als Ort für das TGT angibt.

Der einfachste und getestete Workaround für dieses Problem ist, das TGT als Datei abzulegen. Dazu die /etc/krb5.conf editieren (Adminrechte erforderlich).

#Anpassung der libdefaults unter: /etc/krb5.conf

[libdefaults]
    # hinzufuegen falls noch nicht in der Datei vorhanden
    default_ccache_name = FILE:/tmp/krb5cc_%{uid}

Alternativ, wenn keine Adminrechte vorhanden sind, kann man für die aktuelle Shell den Pfad setzen.

export KRB5CCNAME=FILE:/tmp/krb5cc_$(id -u)
kinit user@UNI-PADERBORN.DE
ssh user@host

Siehe auch[Bearbeiten | Quelltext bearbeiten]

• Anmeldedienst