Show Table of Contents
第20章 Kerberos フラグとプリンシパルエイリアスの管理
20.1. サービスおよびホスト向けの Kerberos フラグ
Kerberos チケット動作の特定の側面を定義するには、各種 Kerberos フラグを使うことができます。これらのフラグは、サービスとホスト Kerberos プリンシパルに追加することができます。
Identity Management (IdM) のプリンシパルは、以下の Kerberos フラグを受け付けます。
OK_AS_DELEGATE- 委任用に信頼する Kerberos チケットを指定するには、このフラグを使用します。Active Directory (AD) クライアントは、Kerberos チケット上の
OK_AS_DELEGATEフラグをチェックして、ユーザー認証情報を特別のサーバーに転送または委任できるかどうかを判断します。AD はOK_AS_DELEGATEセットのあるサービスまたはホストにのみ、Ticket-Granting Ticket (TGT) を転送します。このフラグがあると、システムセキュリティサービスデーモン (SSSD) は AD ユーザー TGT を IdM クライアントマシン上のデフォルトの Kerberos 認証情報キャッシュに追加することができます。 REQUIRES_PRE_AUTH- 事前に認証されたチケットのみがプリンシパルに認証可能と指定するには、このフラグを使用します。
REQUIRES_PRE_AUTHフラグが設定されている場合は、キー配布センター (KDC) は新たな認証を必要します。TGT が事前に認証されている場合にのみ、KDC はREQUIRES_PRE_AUTHのあるプリンシパル用の TGT を発行します。REQUIRES_PRE_AUTH消去すると、選択したサービスまたはホストの事前認証を無効化できます。この場合、KDC の負荷は下がりますが、長期のキーへのブルートフォース攻撃が成功する確率が少し高くなります。 OK_TO_AUTH_AS_DELEGATEOK_TO_AUTH_AS_DELEGATEフラグを使用して、サービスがユーザーに代わって Kerberos チケットを取得できることを指定します。これはプロトコルの移行を行うには十分ですが、ユーザーに代わってその他のチケットを取得するには、サービスに、キー配布センター側でOK_AS_DELEGATEフラグと一致するポリシー決定が許可される必要があることに注意してください。
20.1.1. Web UI で Kerberos フラグを設定する
OK_AS_DELEGATE、REQUIRES_PRE_AUTH、またはOK_TO_AUTH_AS_DELEGATE をプリンシパルに追加するには:
- Identity メインタブから Services サブタブを選択します。
図20.1 サービス一覧
- フラグを追加するサービスをクリックします。
- 設定するオプションを確認します。例えば、
REQUIRES_PRE_AUTHフラグを設定するには、Requires pre-authentication オプションを確認します。
図20.2 A
REQUIRES_PRE_AUTHフラグの追加以下の表では、Kerberos フラグと、Web UI で対応する名前が一覧表示されています。表20.1 Web UI での Kerberos フラグのマッピング
Kerberos フラグ名 Web UI オプション OK_AS_DELEGATE 委任用に信頼 REQUIRES_PRE_AUTH 事前認証が必要 OK_TO_AUTH_AS_DELEGATE ユーザーとしての認証に信頼
20.1.2. コマンドラインからの Kerberos フラグの設定と削除
コマンドラインからプリンシパルにグラフを追加または削除するには、
ipa service-mod コマンドに以下のいずれかのオプションを追加します。
OK_AS_DELEGATEには--ok-as-delegateを追加REQUIRES_PRE_AUTHには--requires-pre-authを追加OK_TO_AUTH_AS_DELEGATEの--ok-to-auth-as-delegate
フラグを追加するには、対応するオプションを
1 に設定します。たとえば、OK_AS_DELEGATE フラグを service/ipa.example.com@EXAMPLE.COM プリンシパルに追加するには、以下を実行します。
$ ipa service-mod service/ipa.example.com@EXAMPLE.COM --ok-as-delegate=1
フラグを削除または無効にするには、対応するオプションを
0 に設定します。たとえば、REQUIRES_PRE_AUTH フラグを test/ipa.example.com@EXAMPLE.COM プリンシパルで無効にするには、以下を実行します。
$ ipa service-mod test/ipa.example.com@EXAMPLE.COM --requires-pre-auth=020.1.3. コマンドラインからの Kerberos フラグの表示
OK_AS_DELEGATE が現在プリンシパルに設定されているかどうかを確認するには:
kvnoユーティリティーを実行します。klist -fコマンドを実行します。
OK_AS_DELEGATE は、klist -f 出力において O 文字として示されています。
$ kvno test/ipa.example.com@EXAMPLE.COM
$ klist -f
Ticket cache: KEYRING:persistent:0:0
Default principal: admin@EXAMPLE.COM
Valid starting Expires Service principal
02/19/2014 09:59:02 02/20/2014 08:21:33 test/ipa/example.com@EXAMPLE.COM
Flags: FATO表20.2 kerberos フラグの省略
| Kerberos フラグ名 | 省略形 |
|---|---|
| OK_AS_DELEGATE | O |
| REQUIRES_PRE_AUTH | A |
| OK_TO_AUTH_AS_DELEGATE | F |
プリンシパルにどのフラグが設定されているかを調べるには、
kadmin.local ユーティリティーを使用します。現行フラグは、以下のように kadmin.localの出力の Attributes の行に表示されます。
# kadmin.local
kadmin.local: getprinc test/ipa.example.com
Principal: test/ipa.example.com@EXAMPLE.COM
Expiration date: [never]
...
Attributes: REQUIRES_PRE_AUTH OK_AS_DELEGATE OK_TO_AUTH_AS_DELEGATE
Policy: [none]