20.2. ユーザー、ホスト、およびサービス向け Kerberos プリンシパルエイリアスの管理

新規のユーザー、ホスト、またはサービスを作成すると、以下のフォーマットで Kerberos プリンシパルが自動的に追加されます。
  • user_name@REALM
  • host/host_name@REALM
  • service_name/host_name@REALM
場合によっては、ユーザー、ホスト、またはサービスがエイリアスを使って Kerberos アプリケーションに認証できるようにすると管理者に有益なこともあります。たとえば、以下のような場合です。
  • ユーザー名を変更したものの、ユーザーが以前のユーザー名と新たなユーザー名の両方を使ってログインする場合。
  • IdM Kerberos レルムが E メールのドメインと異なる場合でも、ユーザーが E メールアドレスを使用してログインする必要がある場合。
ユーザー名を変更した場合は、オブジェクトがエイリアスと以前の正規のプリンシパル名を保持することに注意してください。

20.2.1. Kerberos プリンシパルのエイリアス

Kerberos プリンシパルエイリアスの追加

エイリアス名 useralias をアカウント user に追加するには、以下を入力します。
[root@ipaserver ~]# ipa user-add-principal user useralias
--------------------------------
Added new aliases to user "user"
--------------------------------
         User login: user
    Principal alias: user@IDM.EXAMPLE.COM, useralias@IDM.EXAMPLE.COM
ホストまたはサービスにエイリアスを追加するには、代わりにそれぞれ ipa host-add-principal または ipa service-add-principal コマンドを使用します。
認証にエイリアス名を使用する場合は、-C オプションを kinit コマンドに渡します。
[root@ipaserver ~]# kinit -C useralias
Password for user@IDM.EXAMPLE.COM:

Kerberos プリンシパルエイリアスの削除

エイリアス useralias をアカウント user から削除するには、以下を入力します。
[root@ipaserver ~]# ipa user-remove-principal user useralias
--------------------------------
Removed aliases from user "user"
--------------------------------
  User login: user
  Principal alias: user@IDM.EXAMPLE.COM
ホストまたはサービスからエイリアスを削除するには、代わりにそれぞれ ipa host-remove-principal または ipa service-remove-principal コマンドを使用します。
正規のプリンシパル名は削除できないことに注意してください。
[root@ipaserver ~]# ipa user-show user
  User login: user
  ...
  Principal name: user@IDM.EXAMPLE.COM
  ...

[root@ipaserver ~]# ipa user-remove-principal user user
ipa: ERROR: invalid 'krbprincipalname': at least one value equal to the canonical principal name must be present

20.2.2. Kerberos エンタープライズプリンシパルのエイリアス

エンタープライズプリンシパルエイリアスには、ユーザープリンシパル名 (UPN) サフィックス、NetBIOS 名、または信頼される Active Directory フォレストドメインのドメイン名を除いて、いかなるドメインサフィックスを使用することができます。

注記

エンタープライズプリンシパルエイリアスを追加または削除する際には、2 つのバックスラッシュ (\\) を使って @ 記号をエスケープします。これを使用しないとシェルは @ を Kerberos レルム名の一部として解釈し、以下のエラーが表示されます。
ipa: ERROR: The realm for the principal does not match the realm for this IPA server

Kerberos エンタープライズプリンシパルのエイリアスの追加

エンタープライズプリンシパルエイリアス user@example.comuser アカウントに追加するには、以下を実行します。
[root@ipaserver ~]# ipa user-add-principal user user\\@example.com
--------------------------------
Added new aliases to user "user"
--------------------------------
         User login: user
    Principal alias: user@IDM.EXAMPLE.COM, user\@example.com@IDM.EXAMPLE.COM
ホストまたはサービスにエンタープライズエイリアスを追加するには、代わりにそれぞれ ipa host-add-principal または ipa service-add-principal コマンドを使用します。
認証にエンタープライズプリンシパル名を使用する場合は、-E オプションを kinit コマンドに渡します。
[root@ipaserver ~]# kinit -E user@example.com
Password for user\@example.com@IDM.EXAMPLE.COM:

Kerberos エンタープライズプリンシパルエイリアスの削除

エンタープライズプリンシパルエイリアス user@example.com をアカウント user から削除するには、以下を入力します。
[root@ipaserver ~]# ipa user-remove-principal user user\\@example.com
--------------------------------
Removed aliases from user "user"
--------------------------------
  User login: user
  Principal alias: user@IDM.EXAMPLE.COM
ホストまたはサービスからエイリアスを削除するには、代わりにそれぞれ ipa host-remove-principal または ipa service-remove-principal コマンドを使用します。