Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
第20章 Kerberos フラグとプリンシパルエイリアスの管理
20.1. サービスおよびホスト向けの Kerberos フラグ
Kerberos チケット動作の特定の側面を定義するには、各種 Kerberos フラグを使うことができます。これらのフラグは、サービスとホスト Kerberos プリンシパルに追加することができます。
Identity Management (IdM) のプリンシパルは、以下の Kerberos フラグを受け付けます。
OK_AS_DELEGATE
- 委任用に信頼する Kerberos チケットを指定するには、このフラグを使用します。Active Directory (AD) クライアントは、Kerberos チケット上の
OK_AS_DELEGATE
フラグをチェックして、ユーザー認証情報を特別のサーバーに転送または委任できるかどうかを判断します。AD はOK_AS_DELEGATE
セットのあるサービスまたはホストにのみ、Ticket-Granting Ticket (TGT) を転送します。このフラグがあると、システムセキュリティサービスデーモン (SSSD) は AD ユーザー TGT を IdM クライアントマシン上のデフォルトの Kerberos 認証情報キャッシュに追加することができます。 REQUIRES_PRE_AUTH
- 事前に認証されたチケットのみがプリンシパルに認証可能と指定するには、このフラグを使用します。
REQUIRES_PRE_AUTH
フラグが設定されている場合は、キー配布センター (KDC) は新たな認証を必要します。TGT が事前に認証されている場合にのみ、KDC はREQUIRES_PRE_AUTH
のあるプリンシパル用の TGT を発行します。REQUIRES_PRE_AUTH
消去すると、選択したサービスまたはホストの事前認証を無効化できます。この場合、KDC の負荷は下がりますが、長期のキーへのブルートフォース攻撃が成功する確率が少し高くなります。 OK_TO_AUTH_AS_DELEGATE
OK_TO_AUTH_AS_DELEGATE
フラグを使用して、サービスがユーザーに代わって Kerberos チケットを取得できることを指定します。これはプロトコルの移行を行うには十分ですが、ユーザーに代わってその他のチケットを取得するには、サービスに、キー配布センター側でOK_AS_DELEGATE
フラグと一致するポリシー決定が許可される必要があることに注意してください。
20.1.1. Web UI で Kerberos フラグを設定する
OK_AS_DELEGATE
、REQUIRES_PRE_AUTH
、またはOK_TO_AUTH_AS_DELEGATE
をプリンシパルに追加するには:
- Identity メインタブから Services サブタブを選択します。
図20.1 サービス一覧
- フラグを追加するサービスをクリックします。
- 設定するオプションを確認します。例えば、
REQUIRES_PRE_AUTH
フラグを設定するには、Requires pre-authentication オプションを確認します。図20.2 A
REQUIRES_PRE_AUTH
フラグの追加以下の表では、Kerberos フラグと、Web UI で対応する名前が一覧表示されています。表20.1 Web UI での Kerberos フラグのマッピング
Kerberos フラグ名 Web UI オプション OK_AS_DELEGATE 委任用に信頼 REQUIRES_PRE_AUTH 事前認証が必要 OK_TO_AUTH_AS_DELEGATE ユーザーとしての認証に信頼
20.1.2. コマンドラインからの Kerberos フラグの設定と削除
コマンドラインからプリンシパルにグラフを追加または削除するには、
ipa service-mod
コマンドに以下のいずれかのオプションを追加します。
OK_AS_DELEGATE
には--ok-as-delegate
を追加REQUIRES_PRE_AUTH
には--requires-pre-auth
を追加OK_TO_AUTH_AS_DELEGATE
の--ok-to-auth-as-delegate
フラグを追加するには、対応するオプションを
1
に設定します。たとえば、OK_AS_DELEGATE
フラグを service/ipa.example.com@EXAMPLE.COM プリンシパルに追加するには、以下を実行します。
$ ipa service-mod service/ipa.example.com@EXAMPLE.COM --ok-as-delegate=1
フラグを削除または無効にするには、対応するオプションを
0
に設定します。たとえば、REQUIRES_PRE_AUTH
フラグを test/ipa.example.com@EXAMPLE.COM プリンシパルで無効にするには、以下を実行します。
$ ipa service-mod test/ipa.example.com@EXAMPLE.COM --requires-pre-auth=0
20.1.3. コマンドラインからの Kerberos フラグの表示
OK_AS_DELEGATE
が現在プリンシパルに設定されているかどうかを確認するには:
kvno
ユーティリティーを実行します。klist -f
コマンドを実行します。
OK_AS_DELEGATE
は、klist -f
出力において O
文字として示されています。
$ kvno test/ipa.example.com@EXAMPLE.COM
$ klist -f
Ticket cache: KEYRING:persistent:0:0
Default principal: admin@EXAMPLE.COM
Valid starting Expires Service principal
02/19/2014 09:59:02 02/20/2014 08:21:33 test/ipa/example.com@EXAMPLE.COM
Flags: FATO
表20.2 kerberos フラグの省略
Kerberos フラグ名 | 省略形 |
---|---|
OK_AS_DELEGATE | O |
REQUIRES_PRE_AUTH | A |
OK_TO_AUTH_AS_DELEGATE | F |
プリンシパルにどのフラグが設定されているかを調べるには、
kadmin.local
ユーティリティーを使用します。現行フラグは、以下のように kadmin.local
の出力の Attributes
の行に表示されます。
# kadmin.local
kadmin.local: getprinc test/ipa.example.com
Principal: test/ipa.example.com@EXAMPLE.COM
Expiration date: [never]
...
Attributes: REQUIRES_PRE_AUTH OK_AS_DELEGATE OK_TO_AUTH_AS_DELEGATE
Policy: [none]
このページには機械翻訳が使用されている場合があります (詳細はこちら)。