Me gustaría poder aprovechar las ventajas de Kerberos sin tener que unir mi máquina al dominio.
¿Por qué? Porque esta es una máquina personal y no se nos permite unirnos a ellos el dominio corporativo (ni podemos).
Respuesta
¿Demasiados anuncios?
Aquí está mi éxito parcial hasta ahora. Fui capaz de configurar la autenticación Kerberos, pero sólo en Firefox y Google Chrome, en Safari no funciona y parece ser imposible hacer que funcione sin realmente unirse al dominio.
Configuración de Kerberos en OS X
>kinit username@EXAMPLE.COM
>klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user@EXAMPLE.COM
Valid starting Expires Service principal
06/05/14 11:36:00 06/05/14 21:36:06 krbtgt/EXAMPLE.COM@EXAMPLE.COM
renew until 07/05/14 11:36:00Ahora puedes usar /System/Library/CoreServices/Ticket Viewer.app para ver el billete, o para renovarlo cuando caduque.
CURL
curl -v --negotiate -u : -b ~/cookiejar.txt -c ~/cookiejar.txt --output /dev/null http://example.comFirefox
ir a about:config y configurar network.negotiate-auth.trusted-uris: .example.com
Cromo
defaults write com.google.Chrome AuthServerWhitelist "*.example.com"
defaults write com.google.Chrome AuthNegotiateDelegateWhitelist "*.example.com"Safari [¡roto!]
Basado en https://www.pingidentity.com/support/solutions/index.cfm/How-to-configure-supported-browsers-for-Kerberos-NTLM#safari parece que Safari utilizará SPNEGO sólo cuando esté unido al dominio. De lo contrario, sólo intentará NTLM, que probablemente esté desactivado por ser inseguro.
Cualquier contribución es más que bienvenida.
