Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
20.2. ユーザー、ホスト、およびサービス向けの Kerberos プリンシパルエイリアスの管理
新しいユーザー、ホスト、またはサービスを作成すると、以下の形式で Kerberos プリンシパルが自動的に追加されます。
シナリオによっては、以下のように管理者が、エイリアスを使用して Kerberos アプリケーションに対してユーザー、ホスト、またはサービスが認証できるようにしておくと便利です。
- user_name@REALM
- host/host_name@REALM
- service_name/host_name@REALM
- ユーザー名を変更したものの、ユーザーが以前のユーザー名と新たなユーザー名の両方を使ってログインする場合。
- IdM Kerberos レルムが E メールのドメインと異なる場合でも、ユーザーが E メールアドレスを使用してログインする必要がある場合。
ユーザー名を変更した場合は、オブジェクトがエイリアスと以前の正規のプリンシパル名を保持することに注意してください。
20.2.1. Kerberos プリンシパルのエイリアス
Kerberos プリンシパルエイリアスの追加
エイリアス名
useralias をアカウントユーザーに追加するには、次のコマンドを実行します。
[root@ipaserver ~]# ipa user-add-principal user useralias
--------------------------------
Added new aliases to user "user"
--------------------------------
User login: user
Principal alias: user@IDM.EXAMPLE.COM, useralias@IDM.EXAMPLE.COM
ホストまたはサービスにエイリアスを追加するには、代わりに ipa host-add-principal コマンドまたは ipa service-add-principal コマンドを使用します。
認証にエイリアス名を使用する場合は、kinit コマンドに
-C オプションを指定します。
[root@ipaserver ~]# kinit -C useralias Password for user@IDM.EXAMPLE.COM:
Kerberos プリンシパルエイリアスの削除
アカウントユーザーからエイリアス useralias を削除するには、以下を入力します。
[root@ipaserver ~]# ipa user-remove-principal user useralias -------------------------------- Removed aliases from user "user" -------------------------------- User login: user Principal alias: user@IDM.EXAMPLE.COM
ホストまたはサービスからエイリアスを削除するには、代わりに ipa host-remove-principal コマンドまたは ipa service-remove-principal コマンドを使用します。
正規のプリンシパル名を削除できません。
[root@ipaserver ~]# ipa user-show user User login: user ... Principal name: user@IDM.EXAMPLE.COM ... [root@ipaserver ~]# ipa user-remove-principal user user ipa: ERROR: invalid 'krbprincipalname': at least one value equal to the canonical principal name must be present
20.2.2. Kerberos Enterprise Principal Alias
エンタープライズプリンシパルのエイリアスは、ユーザープリンシパル名(UPN)サフィックス、NetBIOS 名、または信頼済み Active Directory フォレストドメインのドメイン名のドメイン名(UPN)を除く任意のドメインサフィックスを使用できます。
注記
エンタープライズプリンシパルのエイリアスを追加または削除する場合は、2 つのバックスラッシュ
(\\)を使用して @ 記号をエスケープします。それ以外の場合は、シェルは @ 記号を Kerberos レルム名の一部として解釈し、以下のエラーが発生します。
ipa: ERROR: The realm for the principal does not match the realm for this IPA server
Kerberos Enterprise Principal エイリアスの追加
エンタープライズプリンシパルエイリアス
[root@ipaserver ~]# ipa user-add-principal user user\\@example.com
--------------------------------
Added new aliases to user "user"
--------------------------------
User login: user
Principal alias: user@IDM.EXAMPLE.COM, user\@example.com@IDM.EXAMPLE.COM
エンタープライズエイリアスをホストまたはサービスに追加するには、代わりに ipa host-add-principal コマンドまたは ipa service-add-principal コマンドを使用します。
エンタープライズプリンシパル名を使用して認証する場合は、-E オプションを kinit コマンドに渡します。
[root@ipaserver ~]# kinit -E user@example.com Password for user\@example.com@IDM.EXAMPLE.COM:
Kerberos Enterprise Principal Alias の削除
アカウントユーザーからエンタープライズプリンシパルエイリアス [root@ipaserver ~]# ipa user-remove-principal user user\\@example.com -------------------------------- Removed aliases from user "user" -------------------------------- User login: user Principal alias: user@IDM.EXAMPLE.COM
ホストまたはサービスからエイリアスを削除するには、代わりに ipa host-remove-principal コマンドまたは ipa service-remove-principal コマンドを使用します。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。