Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
3.4. Kerberos 5 クライアントの設定
Kerberos 5 クライアントの設定に必要となるのは、クライアントパッケージをインストールして各クライアントに有効な
krb5.conf
設定ファイルを指定することです。クライアントシステムにリモートでログインする方法として、ssh
と slogin
が推奨されています。また、Kerberos を使用したバージョンの rsh
と rlogin
も、設定を加えることで利用できます。
- Kerberos クライアントと KDC との間で時刻同期が行われており、DNS が Kerberos クライアントで適切に機能していることを確認してください。
krb5-libs
およびkrb5-workstation
パッケージをすべてのクライアントマシンにインストールします。- 各クライアントに有効な
/etc/krb5.conf
ファイルを提供します (通常は KDC で使用されるkrb5.conf
ファイルと同じファイルになります)。 - Kerberos を適用した
rsh
とrlogin
サービスを使用するには、rsh
パッケージをインストールします。 - ワークステーションが Kerberos を使用して、
ssh
、rsh
、またはrlogin
を氏使用して接続するユーザーを認証する前に、Kerberos データベースに独自のホストプリンシパルが必要になります。sshd
、kshd
、およびklogind
サーバープログラムはすべて、ホストサービスのプリンシパルのキーへのアクセスが必要になります。kadmin
を使用して、KDC 上のワークステーション用のホストプリンシパルを追加します。この場合のインスタンスはワークステーションのホスト名です。kadmin
のaddprinc
コマンドに-randkey
オプションを指定してプリンシパルを作成し、それをランダムな鍵に割り当てます。addprinc -randkey host/server.example.com
- ワークステーション自体で
kadmin
を実行して、ktadd
コマンドを使用すると、鍵をワークステーション用に抽出できます。ktadd -k /etc/krb5.keytab host/server.example.com
- その他の Kerberos ネットワークサービスを使用するには、krb5-server パッケージをインストールしてサービスを起動します。Kerberos 化したサービスが 表3.3「一般的な Kerberos 化されたサービス」 に一覧表示されます。
表3.3 一般的な Kerberos 化されたサービス
サービス名 | 使用方法 |
---|---|
ssh | クライアントとサーバー両方の設定で GSSAPIAuthentication が有効な場合に、OpenSSH は GSS-API を使用してサーバーにユーザーを認証します。クライアントでも GSSAPIDelegateCredentials が有効な場合は、ユーザーの認証情報がリモートシステムで利用可能になります。 |
rsh および rlogin | klogin 、eklogin 、kshell を有効化します。 |
Telnet | krb5-telnet を有効化します。 |
FTP | ftp のルートでプリンシパルのキーを作成し、展開します。インスタンスを FTP サーバーの完全修飾ホスト名に設定してから、gssftp を有効にするようにしてください。 |
IMAP | cyrus-imap パッケージもインストールされている場合は、この cyrus-sasl-gssapi パッケージは Kerberos 5 を使用します。cyrus-sasl-gssapi パッケージには、GSS-API 認証をサポートする Cyrus SASL プラグインが含まれます。Cyrus IMAP 機能は、cyrus ユーザーが /etc/krb5.keytab で適切な鍵を見つけ、プリンシパルのルートが imap (kadmin で作成したもの) に設定されている限り Kerberos で動作します。
cyrus-imap に変わるものは、dovecot パッケージにあります。これは、Red Hat Enterprise Linux にも含まれています。このパッケージには IMAP サーバーが含まれていますが、現在のところ GSS-API および Kerberos には対応していません。
|
CVS | gserver は、cvs のルートを持つプリンシパルを使用し、それ以外は CVS pserver と同じです。 |