Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第28章 Kerberos ドメインの管理

本章では Identity Management サーバーの Kerberos Key Distribution Center (KDC) コンポーネントの管理について説明します。

重要

Identity Management の Kerberos ポリシー管理には、kadmin または kadmin.local ユーティリティーを使用しないでください。本ガイドに記載のように、ネイティブの Identity Management コマンドツールを使用してください。
上記の Kerberos ツールを使用して Identity Management ポリシーの管理を試みると、操作によっては Directory Server インスタンスに保存されている Identity Management の設定に影響が及ばないものもあります。

28.1. Kerberos チケットポリシーの管理

Identity Management の Kerberos チケットポリシーは、チケットの期間や更新に関する制約を設定します。以下の手順を使用して、Identity Management サーバー上で実行中の Kerberos Key Distribution Center (KDC) の Kerberos チケットポリシーを設定できます。

28.1.1. グローバルおよびユーザー固有の Kerberos チケットポリシー

グローバルの Kerberos チケットポリシーを再定義して、個人ユーザー専用の追加のポリシーを定義することができます。
グローバルの Kerberos チケットポリシー
グローバルポリシーは、Identity Management の Kerberos レルム内で発行された全チケットに適用されます。
ユーザー固有の Kerberos チケットポリシー
ユーザー固有のポリシーは、関連付けられたユーザーアカウントに対してのみ適用されます。たとえば、ユーザー固有のチケットポリシーにより、admin ユーザーのチケットの最大有効期間を延長するように定義できます。
ユーザー固有のポリシーは、グローバルポリシーよりも優先されます。

28.1.2. グローバルの Kerberos チケットポリシーの設定

グローバルの Kerberos チケットポリシーを設定するには、以下を使用できます。

表28.1 サポートされる Kerberos チケットポリシーの属性

属性説明
Max renew
Kerberos チケットの有効期限が切れてからチケットを更新できる期間 (秒)。更新期間が過ぎると、ユーザーはkinit ユーティリティーを使用してログインし、新規チケットを取得する必要があります。
チケットを更新するには kinit -R コマンドを使用します。
Max renew = 604800
チケットの期限が切れると、ユーザーは 7 日以内 (604,800 秒) であればチケットを更新できます。
Max lifeKerberos チケットの有効期間 (秒)。Kerberos チケットが有効な期間。
Max life = 86400
チケットは発行されてから 24 時間 (86,400 秒) で期限が切れます。

Web UI: グローバルのKerberos チケットポリシーの設定

  1. PolicyKerberos Ticket Policy を選択します。
  2. 必須値を定義します。
    1. Max renew フィールドで、Kerberos チケットの最大更新期間を入力します。
    2. Max life フィールドで、Kerberos チケットの最大有効期間を入力します。
      グローバルの Kerberos チケットポリシーの設定

      図28.1 グローバルの Kerberos チケットポリシーの設定

  3. 保存 をクリックします。

コマンドライン: グローバルのKerberos チケットポリシーの設定

グローバルの Kerberos チケットポリシーを変更します。
  • ipa krbtpolicy-mod コマンドを使用して、最低でも以下のオプションを 1 つ指定します。
    • --maxrenew は、Kerberos チケットの最大更新期間を定義します。
    • --maxlife は、Kerberos チケットの最大有効期間を定義します。
    たとえば、最大有効期間を変更するには、以下を実行します。
    $ ipa krbtpolicy-mod --maxlife=80000
    Max life: 80000
    Max renew: 604800
元のデフォルト値に、グローバルの Kerberos チケットポリシーをリセットします。
  1. ipa krbtpolicy-reset コマンドを使用します。
  2. オプションでipa krbtpolicy-show コマンドを使用して、現在の設定を確認します。
ipa krbtpolicy-mod および ipa krbtpolicy-reset の詳細は、コマンドの実行時に --help のオプションを指定します。

28.1.3. ユーザー固有の Kerberos チケットポリシーの設定

特定ユーザーの Kerberos チケットポリシーを変更します。
  1. ipa krbtpolicy-mod user_name コマンドを使用して、最低でも以下のオプションを 1 つ指定します。
    • --maxrenew は、Kerberos チケットの最大更新期間を定義します。
    • --maxlife は、Kerberos チケットの最大有効期間を定義します。
    属性 1 つのみを定義した場合には、Identity Management は、他の属性にグローバルの Kerberos チケットポリシーを適用します。
    たとえば admin ユーザーの最大有効期間を変更するには、以下を実行します。
    $ ipa krbtpolicy-mod admin --maxlife=160000
    Max life: 80000
    Max renew: 604800
  2. オプションでipa krbtpolicy-show user_name コマンドを使用して、特定のユーザーの現在値を表示します。
新しいポリシーは、kinit ユーティリティーの使用時など、次回の Kerberos チケットの要求時に即座にチケットに適用されます。
ユーザー固有の Kerberos チケットポリシーをリセットするには、ipa krbtpolicy-reset user_name コマンドを使用します。このコマンドは、Identity Management がグローバルポリシーの値を適用してからユーザーに定義された値を消去します。
ipa krbtpolicy-mod および ipa krbtpolicy-reset の詳細は、コマンドの実行時に --help のオプションを指定します。