Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
3.4. Kerberos 5 クライアントの設定
Kerberos 5 クライアントの設定に必要となるのは、クライアントパッケージをインストールして各クライアントに有効な
krb5.conf 設定ファイルを指定することです。クライアントシステムにリモートでログインする方法として、ssh と slogin が推奨されています。また、Kerberos を使用したバージョンの rsh と rlogin も、設定を加えることで利用できます。
- Kerberos クライアントと KDC との間で時刻同期が行われており、DNS が Kerberos クライアントで適切に機能していることを確認してください。
krb5-libsおよびkrb5-workstationパッケージをすべてのクライアントマシンにインストールします。- 各クライアントに有効な
/etc/krb5.confファイルを提供します (通常は KDC で使用されるkrb5.confファイルと同じファイルになります)。 - Kerberos を適用した
rshとrloginサービスを使用するには、rshパッケージをインストールします。 - ワークステーションが Kerberos を使用して、
ssh、rsh、またはrloginを氏使用して接続するユーザーを認証する前に、Kerberos データベースに独自のホストプリンシパルが必要になります。sshd、kshd、およびklogindサーバープログラムはすべて、ホストサービスのプリンシパルのキーへのアクセスが必要になります。kadminを使用して、KDC 上のワークステーション用のホストプリンシパルを追加します。この場合のインスタンスはワークステーションのホスト名です。kadminのaddprincコマンドに-randkeyオプションを指定してプリンシパルを作成し、それをランダムな鍵に割り当てます。addprinc -randkey host/server.example.com
- ワークステーション自体で
kadminを実行して、ktaddコマンドを使用すると、鍵をワークステーション用に抽出できます。ktadd -k /etc/krb5.keytab host/server.example.com
- その他の Kerberos ネットワークサービスを使用するには、krb5-server パッケージをインストールしてサービスを起動します。Kerberos 化したサービスが 表3.3「一般的な Kerberos 化されたサービス」 に一覧表示されます。
表3.3 一般的な Kerberos 化されたサービス
| サービス名 | 使用方法 |
|---|---|
| ssh | クライアントとサーバー両方の設定で GSSAPIAuthentication が有効な場合に、OpenSSH は GSS-API を使用してサーバーにユーザーを認証します。クライアントでも GSSAPIDelegateCredentials が有効な場合は、ユーザーの認証情報がリモートシステムで利用可能になります。 |
| rsh および rlogin | klogin、eklogin、kshell を有効化します。 |
| Telnet | krb5-telnet を有効化します。 |
| FTP | ftp のルートでプリンシパルのキーを作成し、展開します。インスタンスを FTP サーバーの完全修飾ホスト名に設定してから、gssftp を有効にするようにしてください。 |
| IMAP | cyrus-imap パッケージもインストールされている場合は、この cyrus-sasl-gssapi パッケージは Kerberos 5 を使用します。cyrus-sasl-gssapi パッケージには、GSS-API 認証をサポートする Cyrus SASL プラグインが含まれます。Cyrus IMAP 機能は、cyrus ユーザーが /etc/krb5.keytab で適切な鍵を見つけ、プリンシパルのルートが imap (kadmin で作成したもの) に設定されている限り Kerberos で動作します。
cyrus-imap に変わるものは、dovecot パッケージにあります。これは、Red Hat Enterprise Linux にも含まれています。このパッケージには IMAP サーバーが含まれていますが、現在のところ GSS-API および Kerberos には対応していません。
|
| CVS | gserver は、cvs のルートを持つプリンシパルを使用し、それ以外は CVS pserver と同じです。 |
