第27章 IdM での Kerberos PKINIT 認証

Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) とは、Kerberos の事前認証メカニズムです。Red Hat Enterprise Linux 7.4 では、Identity Management (IdM) に、Kerberos PKINIT 認証用のメカニズムが含まれます。以下のセクションでは、IdM における PKINIT 実装の概要について触れ、IdM での PKINIT 設定方法について説明します。

27.1. 各種 IdM バージョンのデフォルトの PKINIT ステータス

IdM サーバーのデフォルト PKINIT 設定は、Red Hat Enterprise Linux (RHEL) 内と認証局 (CA) 設定のバージョンに IdM によって異なります。詳しくは、表27.1「IdM バージョンのデフォルトの PKINIT 設定」を参照してください。

表27.1 IdM バージョンのデフォルトの PKINIT 設定

RHEL バージョンCA の設定PKINIT 設定
7.3 以降CA なしローカル PKINIT: IdM はサーバーの内部用途でのみ PKINIT を使用します。
7.3 以降統合 CA あり
IdM は、統合 IdM CA による署名付きの証明書を使用して PKINIT の設定を試行します。
試行に失敗した場合は、ローカルの PKINIT のみを設定します。
7.4 以降
CA なし
IdM による外部 PKINIT 証明書なし
ローカル PKINIT: IdM はサーバーの内部用途でのみ PKINIT を使用します。
7.4 以降
CA なし
IdM による外部 PKINIT 証明書あり
IdM は、外部の Kerberos キー配布センター (KDC) 証明書と CA 証明書を使用して PKINIT を設定します。
7.4 以降統合 CA ありIdM は、統合 IdM CA による署名付きの証明書を使用して PKINIT の設定を試行します。
ドメインレベル 0 で、PKINIT が無効化されます。デフォルトの動作は、ローカルの PKINIT です。IdM は、サーバー上での内部用途にのみ PKINIT を使用します。7章ドメインレベルの表示と引き上げを参照します。