Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
20.3. Kerberos チケットの更新
Kerberos キーはパスワードに類似しています。パスワードポリシーと同様に、Kerberos チケットはセキュリティーポリシーの対象となります。このポリシーでは、指定した間隔後に手動で更新する必要があります。
キーのバージョンは、キーバージョン番号 (KVNO)に表示されます。更新 (ローテーションとも呼ばれる) が、キータブエントリーの KVNO をインクリメントします。キーを更新すると、新しいエントリーが KVNO のキータブに追加されます。元の鍵はキータブに残りますが、チケットを発行するのに使用されません。
IdM レルムの各キータブには、IdM LDAP サーバーにエントリーがあり、これには最後の変更時間が含まれます。更新が必要なプリンシパルは、ipa-getkeytab コマンドを使用して再生成できます。
注記
この ipa-getkeytab コマンドは、ファイルにすでに存在する場合に古いキータブを削除しません。
- 必須の日付の前に発行されたすべてのキータブを見つけます。たとえば、2010 年 1 月 1 日から、2010 年 12 月 31 日の午後 11:59 の間に作成されたプリンシパルを探します。
# ldapsearch -x -b "cn=computers,cn=accounts,dc=example,dc=com" "(&(krblastpwdchange>=20100101000000)(krblastpwdchange<=20101231235959))" dn krbprincipalname # ldapsearch -x -b "cn=services,cn=accounts,dc=example,dc=com" "(&(krblastpwdchange>=20100101000000)(krblastpwdchange<=20101231235959))" dn krbprincipalname
- ホスト (マシン) プリンシパルは cn=computers,cn=accounts,dc=example,dc=com サブツリーに保存されます。
- サービスプリンシパルは cn=services,cn=accounts,dc=example,dc=com サブツリーに保存されます。
- 最終変更日 (
krblastpwdchange) で絞り込みます。 dn krbprincipalname属性を指定して、検索結果の情報をエントリー名とプリンシパルにのみ制限します。
日付は、YYYYMMDD 形式で表現され、時刻は HHMMSS 形式 (GMT) で表されます。 - ipa-getkeytab コマンドを使用して、プリンシパルの新しいキータブを取得します。これには、サービスまたはホストの元のキータブの場所 (
-k)、プリンシパル (-p)、および IdM サーバーのホスト名 (-s) が必要です。たとえば、これにより、以下のように/etc/krb5.keytabのデフォルトのキータブでホストプリンシパルが更新されます。# ipa-getkeytab -p host/client.example.com@EXAMPLE.COM -s ipa.example.com -k /etc/krb5.keytab
これにより、Apache サービスのキータブが、/etc/httpd/conf/ipa.keytabのデフォルトの場所にあるキータブで更新されます。# ipa-getkeytab -p HTTP/client.example.com@EXAMPLE.COM -s ipa.example.com -k /etc/httpd/conf/ipa.keytab
- すべてのサービスに使用するキータブ ipa-getkeytab を再生成します。
この klist コマンドは、更新されたキータブの新しいキーバージョン番号を表示します。元のキータブはデータベースに存在し、以前の KVNO で一覧表示されます。
# klist -kt /etc/krb5.keytab Keytab: WRFILE:/etc/krb5.keytab KVNO Timestamp Principal ---- ----------------- -------------------------------------------------------- 1 06/09/10 11:23:01 host/client.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 2 06/09/11 05:58:47 host/client.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 1 03/09/11 13:57:16 krbtgt/EXAMPLE.COM@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 1 03/09/11 13:57:16 HTTP/ipa.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 1 03/09/11 13:57:16 ldap/ipa.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
古いキータブに対して発行されたチケットは引き続き機能しますが、KVNO のキーを使用して新しいチケットが発行されます。これにより、システム操作の中断が回避されます。
重要
NFSv4 などの一部のサービスは、限定された暗号化タイプのみに対応します。適切な引数を ipa-getkeytab コマンドに渡してキータブを適切に設定します。
