Show Table of Contents
第28章 Kerberos ドメインの管理
本章では Identity Management サーバーの Kerberos Key Distribution Center (KDC) コンポーネントの管理について説明します。
重要
Identity Management の Kerberos ポリシー管理には、
kadmin または kadmin.local ユーティリティーを使用しないでください。本ガイドに記載のように、ネイティブの Identity Management コマンドツールを使用してください。
上記の Kerberos ツールを使用して Identity Management ポリシーの管理を試みると、操作によっては Directory Server インスタンスに保存されている Identity Management の設定に影響が及ばないものもあります。
28.1. Kerberos チケットポリシーの管理
Identity Management の Kerberos チケットポリシーは、チケットの期間や更新に関する制約を設定します。以下の手順を使用して、Identity Management サーバー上で実行中の Kerberos Key Distribution Center (KDC) の Kerberos チケットポリシーを設定できます。
28.1.1. グローバルおよびユーザー固有の Kerberos チケットポリシー
グローバルの Kerberos チケットポリシーを再定義して、個人ユーザー専用の追加のポリシーを定義することができます。
- グローバルの Kerberos チケットポリシー
- グローバルポリシーは、Identity Management の Kerberos レルム内で発行された全チケットに適用されます。
- ユーザー固有の Kerberos チケットポリシー
- ユーザー固有のポリシーは、関連付けられたユーザーアカウントに対してのみ適用されます。たとえば、ユーザー固有のチケットポリシーにより、
adminユーザーのチケットの最大有効期間を延長するように定義できます。ユーザー固有のポリシーは、グローバルポリシーよりも優先されます。
28.1.2. グローバルの Kerberos チケットポリシーの設定
グローバルの Kerberos チケットポリシーを設定するには、以下を使用できます。
- Identity Management の Web UI: 「Web UI: グローバルのKerberos チケットポリシーの設定」を参照してください。
- コマンドライン: 「コマンドライン: グローバルのKerberos チケットポリシーの設定」を参照してください。
表28.1 サポートされる Kerberos チケットポリシーの属性
| 属性 | 説明 | 例 |
|---|---|---|
| Max renew |
Kerberos チケットの有効期限が切れてからチケットを更新できる期間 (秒)。更新期間が過ぎると、ユーザーは
kinit ユーティリティーを使用してログインし、新規チケットを取得する必要があります。
チケットを更新するには
kinit -R コマンドを使用します。
|
Max renew = 604800
チケットの期限が切れると、ユーザーは 7 日以内 (604,800 秒) であればチケットを更新できます。
|
| Max life | Kerberos チケットの有効期間 (秒)。Kerberos チケットが有効な期間。 |
Max life = 86400
チケットは発行されてから 24 時間 (86,400 秒) で期限が切れます。
|
Web UI: グローバルのKerberos チケットポリシーの設定
- → を選択します。
- 必須値を定義します。
- Max renew フィールドで、Kerberos チケットの最大更新期間を入力します。
- Max life フィールドで、Kerberos チケットの最大有効期間を入力します。
図28.1 グローバルの Kerberos チケットポリシーの設定
- をクリックします。
コマンドライン: グローバルのKerberos チケットポリシーの設定
グローバルの Kerberos チケットポリシーを変更します。
ipa krbtpolicy-modコマンドを使用して、最低でも以下のオプションを 1 つ指定します。--maxrenewは、Kerberos チケットの最大更新期間を定義します。--maxlifeは、Kerberos チケットの最大有効期間を定義します。
たとえば、最大有効期間を変更するには、以下を実行します。$
ipa krbtpolicy-mod --maxlife=80000Max life: 80000 Max renew: 604800
元のデフォルト値に、グローバルの Kerberos チケットポリシーをリセットします。
ipa krbtpolicy-resetコマンドを使用します。- オプションで、
ipa krbtpolicy-showコマンドを使用して、現在の設定を確認します。
ipa krbtpolicy-mod および ipa krbtpolicy-reset の詳細は、コマンドの実行時に --help のオプションを指定します。
28.1.3. ユーザー固有の Kerberos チケットポリシーの設定
特定ユーザーの Kerberos チケットポリシーを変更します。
ipa krbtpolicy-mod user_nameコマンドを使用して、最低でも以下のオプションを 1 つ指定します。--maxrenewは、Kerberos チケットの最大更新期間を定義します。--maxlifeは、Kerberos チケットの最大有効期間を定義します。
属性 1 つのみを定義した場合には、Identity Management は、他の属性にグローバルの Kerberos チケットポリシーを適用します。たとえばadminユーザーの最大有効期間を変更するには、以下を実行します。$
ipa krbtpolicy-mod admin --maxlife=160000Max life: 80000 Max renew: 604800- オプションで、
ipa krbtpolicy-show user_nameコマンドを使用して、特定のユーザーの現在値を表示します。
新しいポリシーは、
kinit ユーティリティーの使用時など、次回の Kerberos チケットの要求時に即座にチケットに適用されます。
ユーザー固有の Kerberos チケットポリシーをリセットするには、
ipa krbtpolicy-reset user_name コマンドを使用します。このコマンドは、Identity Management がグローバルポリシーの値を適用してからユーザーに定義された値を消去します。
ipa krbtpolicy-mod および ipa krbtpolicy-reset の詳細は、コマンドの実行時に --help のオプションを指定します。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.