Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

5.2. Kerberos を使用した IdM へのログイン

IdM は、シングルサインオンに対応する Kerberos プロトコルを使用します。Kerberos では、正しいユーザー名とパスワードを一度提示するだけで済み、システムが認証情報を再度求められることなく IdM サービスにアクセスできます。
デフォルトでは、IdM ドメインのメンバーであるマシンのみが Kerberos を使用して IdM に対して認証できます。ただし、Kerberos 認証向けに外部システムを設定することもできます。詳細は 「Web UI への Kerberos 認証用の外部システムの設定」

kinitの使用

コマンドラインから IdM にログインするには、kinit ユーティリティーを使用します。
注記
kinit を使用するには、krb5-workstation パッケージをインストールする必要があります。
ユーザー名を指定せずに実行すると、kinit はローカルシステムで現在ログインしているユーザーのユーザー名で IdM にログインします。たとえば、ローカルシステムで local_user としてログインしている場合は、kinit を実行すると local_user IdM ユーザーとして認証を試みます。 
[local_user@server ~]$ kinit
Password for local_user@EXAMPLE.COM:
注記
ローカルユーザーのユーザー名が IdM のユーザーエントリーに一致しない場合は、認証に失敗します。
別の IdM ユーザーでログインするには、kinit ユーティリティーに、必要なユーザー名をパラメーターとして渡します。たとえば、admin ユーザーとしてログインするには、次のコマンドを実行します。 
[local_user@server ~]$ kinit admin
Password for admin@EXAMPLE.COM:

Kerberos チケットの自動取得

pam_krb5 プラグ可能な認証モジュール(PAM)と SSSD は、IdM クライアントマシンのデスクトップ環境へのログインに成功したら、ユーザーの TGT を自動的に取得するように設定できます。これにより、ログイン後に kinit を実行する必要はありません。
SSSD で ID および認証プロバイダーとして IdM を設定した IdM システムでは、ユーザーが対応する Kerberos プリンシパル名を使用してログインした後に、SSSD は自動的に TGT を取得します。
pam_krb5 の設定に関する詳細は、pam_krb5(8) の man ページを参照してください。PAM に関する一般的な情報は、『システムレベルの認証ガイド』を参照してください

複数の Kerberos チケットの保存

デフォルトでは、Kerberos はログインユーザーごとに 1 つのチケットのみを認証情報キャッシュに保存します。kinit を実行すると、Kerberos は、現在保存されているチケットを新しいチケットで上書きします。たとえば、kinit を使用して user_A として認証すると、user_B として再度認証されると、user_A のチケットが失われます。
ユーザーの別の TGT を取得して保存するには、別の認証情報キャッシュを設定します。これにより、以前のキャッシュの内容が上書きされないようにします。これは、以下のいずれかの方法で実行できます。
  • export KRB5CCNAME=path_to_different_cache コマンドを実行してから、kinit を使用してチケットを取得します。
  • kinit -c path_to_different_cache コマンドを実行して、KRB5CCNAME 変数をリセットします。
デフォルトの認証情報キャッシュに保存されている元の TGT を復元するには、次のコマンドを実行します。
  1. kdestroy コマンドを実行します。
  2. unset $KRB5CCNAME コマンドを使用して、デフォルトの認証情報キャッシュの場所を復元します。

現在のログインユーザーの確認

現在保存、認証に使用する TGT を確認するには、klist ユーティリティーを使用してキャッシュされたチケットを一覧表示します。以下の例では、キャッシュに user_A のチケットが含まれています。つまり、user_A のみが、現在 IdM サービスにアクセスできます。 
$ klist
Ticket cache: KEYRING:persistent:0:0
Default principal: user_A@EXAMPLE.COM

Valid starting     	Expires            	Service principal
11/10/2015 08:35:45  	11/10/2015 18:35:45  	krbtgt/EXAMPLE.COM@EXAMPLE.COM
このページには機械翻訳が使用されている場合があります (詳細はこちら)。