Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

29.2. Kerberos プリンシパルのリキー

Kerberos プリンシパルを変更すると、キーバージョン番号(KVNO)が高い新しいキータブエントリーがプリンシパルのキータブに追加されます。元のエントリーはキータブに残りますが、チケットを発行するのに使用されません。
  1. 必要な期間に発行されたすべてのキータブを見つけます。たとえば、以下のコマンドは ldapsearch ユーティリティーを使用して、2016 年 1 月 1 日の午前 0 時から作成されたすべてのホストとサービスプリンシパルを表示します。2016 年 12 月 31 日の午後 11:59 分を 2016 年 12 月 31 日(GMT)にします。
    # ldapsearch -x -b "cn=computers,cn=accounts,dc=example,dc=com" "(&(krblastpwdchange>=20160101000000)(krblastpwdchange<=20161231235959))" dn krbprincipalname
    # ldapsearch -x -b "cn=services,cn=accounts,dc=example,dc=com" "(&(krblastpwdchange>=20160101000000)(krblastpwdchange<=20161231235959))" dn krbprincipalname
    • searchbase(-b) は、ldapsearch がプリンシパルを検索するサブツリーを定義します。
      • ホストプリンシパルは cn=computers,cn=accounts,dc=example,dc=com サブツリーに保存されます。
      • サービスプリンシパルは cn=services,cn=accounts,dc=example,dc=com サブツリーに保存されます。
    • krblastpwdchange パラメーターは、最終変更日で検索結果をフィルタリングします。このパラメーターは、日付の YYYYMMDD 形式と GMT の時刻の HHMMSS 形式を受け入れます。
    • dn および krbprincipalname 属性を指定すると、検索結果はエントリー名とプリンシパルに制限されます。
  2. プリンシパルの再キーを必要とするすべてのサービスおよびホストについては、ipa-getkeytab ユーティリティーを使用して新しいキータブエントリーを取得します。以下のオプションを渡します。
    • --principal (-p)-プリンシパルを指定します。
      --keytab (-k)- 元のキータブの場所を指定します。
      --server (-s)-Identity Management サーバーのホスト名を指定します。
    以下に例を示します。
    • /etc/krb5.keytab のデフォルトの場所でキータブでホストプリンシパルを再キーするには、次のコマンドを実行します。
      # ipa-getkeytab -p host/client.example.com@EXAMPLE.COM -s server.example.com -k /etc/krb5.keytab
    • /etc/httpd/conf/ipa.keytab のデフォルトの場所で Apache サービスのキータブを再キーするには、以下を実行します。
      # ipa-getkeytab -p HTTP/client.example.com@EXAMPLE.COM -s server.example.com -k /etc/httpd/conf/ipa.keytab
      重要
      NFS バージョン 4 などの一部のサービスは、一部の暗号化タイプのみをサポートしています。適切な引数を ipa-getkeytab コマンドに渡してキータブを適切に設定します。
  3. 任意です。プリンシパルが正常にキーを変更していることを確認します。klist ユーティリティーを使用して、すべての Kerberos チケットを一覧表示します。たとえば、/etc/krb5.keytab にあるすべてのキータブエントリーを一覧表示するには、次のコマンドを実行します。
    # klist -kt /etc/krb5.keytab
    Keytab: WRFILE:/etc/krb5.keytab
    KVNO Timestamp         Principal
    ---- ----------------- --------------------------------------------------------
       1 06/09/16 05:58:47 host/client.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
       2 06/09/16 11:23:01 host/client.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
       1 03/09/16 13:57:16 krbtgt/EXAMPLE.COM@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
       1 03/09/16 13:57:16 HTTP/server.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
       1 03/09/16 13:57:16 ldap/server.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
    
    この出力は、client.example.com のキータブエントリーが KVNO で再キーされていることを示しています。元のキータブは、以前の KVNO のデータベースに存在します。
    以前のキータブに対して発行されたチケットは引き続き機能しますが、KVNO のキーを使用して新しいチケットが発行されます。これにより、システム操作の中断が回避されます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。