Show Table of Contents
29.2. Kerberos プリンシパルの鍵の変更
Kerberos プリンシパルの 鍵を変更すると、プリンシパルのキータブに、現在のキーバージョン番号 (KVNO) よりも高い値を新規 Keytab エントリーとして追加します。
- 指定の期間内に発行されたキータブをすべて検索します。たとえば、以下のコマンドでは、
ldapsearchユーティリティーを使用して、グリニッジ標準時 (GMT) の 2016 年 1 月 1 日午前 12 時から 12 月 31 日午後 11 時 59 分までに作成された全ホストとサービスプリンシパルを表示します。#
ldapsearch -x -b "cn=computers,cn=accounts,dc=example,dc=com" "(&(krblastpwdchange>=20160101000000)(krblastpwdchange<=20161231235959))" dn krbprincipalname#
ldapsearch -x -b "cn=services,cn=accounts,dc=example,dc=com" "(&(krblastpwdchange>=20160101000000)(krblastpwdchange<=20161231235959))" dn krbprincipalname- 検索ベース (
-b) では、ldapsearchがプリンシパルを検索するサブツリーを定義します。- ホストプリンシパルは、
cn=computers,cn=accounts,dc=example,dc=comサブツリーの配下に保存されます。 - サービスプリンシパルは、
cn=services,cn=accounts,dc=example,dc=comサブツリーの配下に保存されます。
krblastpwdchangeパラメーターは、最終変更日で検索結果を絞り込みます。このパラメーターは、日付には YYYYMMDD の形式、日次には HHMMSS の形式に対応しています (グリニッジ標準時)。dnおよびkrbprincipalname属性を指定すると、検索結果をエントリー名とプリンシパルのみに絞り込みます。
- サービスおよびホストがプリンシパルの鍵の再生成が必要な場合には、
ipa-getkeytabユーティリティーを使用して新規キータブエントリーを取得します。以下のオプションを渡します。--principal(-p): プリンシパルを指定します。--keytab(-k): 元のキータブの場所を指定します。--server(-s): Identity Management サーバーのホスト名を指定します。
以下に例を示します。- デフォルトの場所である
/etc/krb5.keytabにあるキータブのホストプリンシパルの鍵を再生成するには、以下を実行します。#
ipa-getkeytab -p host/client.example.com@EXAMPLE.COM -s server.example.com -k /etc/krb5.keytab - デフォルトの場所である
/etc/httpd/conf/ipa.keytabにある Apache サービスのキータブの鍵を再生成するには以下を実行します。#
ipa-getkeytab -p HTTP/client.example.com@EXAMPLE.COM -s server.example.com -k /etc/httpd/conf/ipa.keytab重要
NFS バージョン 4 などのサービスは、一部の暗号化タイプのみをサポートします。ipa-getkeytabコマンドに適切な引数を渡して keytab を設定します。
- オプション: プリンシパルの鍵が正しく再生成されたことを確認します。
klistユーティリティーを使用して、すべての Kerberos チケットを表示します。たとえば、/etc/krb5.keytabのキータブエントリーを表示するには以下を実行します。#
klist -kt /etc/krb5.keytabKeytab: WRFILE:/etc/krb5.keytab KVNO Timestamp Principal ---- ----------------- -------------------------------------------------------- 1 06/09/16 05:58:47 host/client.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 2 06/09/16 11:23:01 host/client.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 1 03/09/16 13:57:16 krbtgt/EXAMPLE.COM@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 1 03/09/16 13:57:16 HTTP/server.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 1 03/09/16 13:57:16 ldap/server.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96)この出力では、client.example.comのキータブエントリーが前の KVNO よりも大きい数値を使用して鍵が再生成されたことを示します。以前の KVNO が付いた元のキータブは、そのままデータベースに残ります。以前のキータブに対して発行されたチケットは機能し続け、KVNO の値が最大の鍵で新規チケットが発行されるため、システム操作の中断を防ぎます。