29.2. Kerberos プリンシパルの鍵の変更

Kerberos プリンシパルの 鍵を変更すると、プリンシパルのキータブに、現在のキーバージョン番号 (KVNO) よりも高い値を新規 Keytab エントリーとして追加します。

指定の期間内に発行されたキータブをすべて検索します。たとえば、以下のコマンドでは、ldapsearch ユーティリティーを使用して、グリニッジ標準時 (GMT) の 2016 年 1 月 1 日午前 12 時から 12 月 31 日午後 11 時 59 分までに作成された全ホストとサービスプリンシパルを表示します。
```
# ldapsearch -x -b "cn=computers,cn=accounts,dc=example,dc=com" "(&(krblastpwdchange>=20160101000000)(krblastpwdchange<=20161231235959))" dn krbprincipalname
```
```
# ldapsearch -x -b "cn=services,cn=accounts,dc=example,dc=com" "(&(krblastpwdchange>=20160101000000)(krblastpwdchange<=20161231235959))" dn krbprincipalname
```
- 検索ベース (-b) では、ldapsearch がプリンシパルを検索するサブツリーを定義します。
  - ホストプリンシパルは、cn=computers,cn=accounts,dc=example,dc=com サブツリーの配下に保存されます。
  - サービスプリンシパルは、cn=services,cn=accounts,dc=example,dc=com サブツリーの配下に保存されます。
- krblastpwdchange パラメーターは、最終変更日で検索結果を絞り込みます。このパラメーターは、日付には YYYYMMDD の形式、日次には HHMMSS の形式に対応しています (グリニッジ標準時)。
- dn および krbprincipalname 属性を指定すると、検索結果をエントリー名とプリンシパルのみに絞り込みます。
サービスおよびホストがプリンシパルの鍵の再生成が必要な場合には、ipa-getkeytab ユーティリティーを使用して新規キータブエントリーを取得します。以下のオプションを渡します。
- --principal (-p): プリンシパルを指定します。
  --keytab (-k): 元のキータブの場所を指定します。
  --server (-s): Identity Management サーバーのホスト名を指定します。
以下に例を示します。
- デフォルトの場所である /etc/krb5.keytab にあるキータブのホストプリンシパルの鍵を再生成するには、以下を実行します。
```
# ipa-getkeytab -p host/client.example.com@EXAMPLE.COM -s server.example.com -k /etc/krb5.keytab
```
- デフォルトの場所である /etc/httpd/conf/ipa.keytab にある Apache サービスのキータブの鍵を再生成するには以下を実行します。
```
# ipa-getkeytab -p HTTP/client.example.com@EXAMPLE.COM -s server.example.com -k /etc/httpd/conf/ipa.keytab
```
  重要
  NFS バージョン 4 などのサービスは、一部の暗号化タイプのみをサポートします。ipa-getkeytab コマンドに適切な引数を渡して keytab を設定します。
オプション: プリンシパルの鍵が正しく再生成されたことを確認します。klist ユーティリティーを使用して、すべての Kerberos チケットを表示します。たとえば、/etc/krb5.keytab のキータブエントリーを表示するには以下を実行します。
```
# klist -kt /etc/krb5.keytab
Keytab: WRFILE:/etc/krb5.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
   1 06/09/16 05:58:47 host/client.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
   2 06/09/16 11:23:01 host/client.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
   1 03/09/16 13:57:16 krbtgt/EXAMPLE.COM@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
   1 03/09/16 13:57:16 HTTP/server.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
   1 03/09/16 13:57:16 ldap/server.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
```
この出力では、client.example.com のキータブエントリーが前の KVNO よりも大きい数値を使用して鍵が再生成されたことを示します。以前の KVNO が付いた元のキータブは、そのままデータベースに残ります。
以前のキータブに対して発行されたチケットは機能し続け、KVNO の値が最大の鍵で新規チケットが発行されるため、システム操作の中断を防ぎます。

Where did the comment section go?

Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Mobile

Services

Tools

Red Hat Insights

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

29.2. Kerberos プリンシパルの鍵の変更

Where did the comment section go?