Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
29.2. Kerberos プリンシパルのキー再生成
Kerberos プリンシパルのキー再生成 により、より大きなキーバージョン番号 (KVNO) を持つ新しいキータブエントリーが、プリンシパルのキータブに追加されます。元のエントリーはキータブに残りますが、チケットを発行するのに使用されません。
- 要求された期間に発行された全キータブを検索します。たとえば、次のコマンドは
ldapsearch
ユーティリティーを使用して、Greenwich Mean Time(GMT) で 2016 年 1 月 1 日の 00:00 AM から 2016 年 12 月 31 日の 11:59 PM の間に作成されたホストとサービスプリンシパルをすべて表示します。# ldapsearch -x -b "cn=computers,cn=accounts,dc=example,dc=com" "(&(krblastpwdchange>=20160101000000)(krblastpwdchange<=20161231235959))" dn krbprincipalname
# ldapsearch -x -b "cn=services,cn=accounts,dc=example,dc=com" "(&(krblastpwdchange>=20160101000000)(krblastpwdchange<=20161231235959))" dn krbprincipalname
- 検索ベース (
-b
) は、ldapsearch
がプリンシパルを検索するサブツリーを定義します。- ホストプリンシパルは cn=computers,cn=accounts,dc=example,dc=com サブツリーに保存されます。
- サービスプリンシパルは cn=services,cn=accounts,dc=example,dc=com サブツリーに保存されます。
krblastpwdchange
パラメーターは、最後の変更日で検索結果をフィルターリングします。このパラメーターでは、日付に YYYYMMDD 形式と、時刻に HHMMSS 形式を使用できます (GMT)。dn
属性およびkrbprincipalname
属性を指定すると、検索結果はエントリー名とプリンシパルに制限されます。
- プリンシパルのキー再生成を必要とするすべてのサービスおよびホストで、
ipa-getkeytab
ユーティリティーを使用して新しいキータブエントリーを取得します。以下のオプションを渡します。--principal
(-p
): プリンシパルを指定--keytab
(-k
): 元のキータブの場所を指定します。--server
(-s
): Identity Management サーバーのホスト名を指定します。
以下に例を示します。/etc/krb5.keytab
のデフォルトロケーションにあるキータブでホストプリンシパルのキーを再生成するには、以下のコマンドを実行します。# ipa-getkeytab -p host/client.example.com@EXAMPLE.COM -s server.example.com -k /etc/krb5.keytab
/etc/httpd/conf/ipa.keytab
のデフォルトロケーションにある Apache サービスのキータブのキーを再生成するには、以下のコマンドを実行します。# ipa-getkeytab -p HTTP/client.example.com@EXAMPLE.COM -s server.example.com -k /etc/httpd/conf/ipa.keytab
重要NFS バージョン 4 などの一部のサービスは、限定された暗号化タイプのみに対応します。適切な引数を ipa-getkeytab コマンドに渡してキータブを適切に設定します。
- オプション:プリンシパルのキーが正常に再生成されたことを確認します。
klist
ユーティリティーを使用して、すべての Kerberos チケットを一覧表示します。たとえば、/etc/krb5.keytab
のすべてのキータブエントリーを一覧表示するには、次のコマンドを実行します。# klist -kt /etc/krb5.keytab Keytab: WRFILE:/etc/krb5.keytab KVNO Timestamp Principal ---- ----------------- -------------------------------------------------------- 1 06/09/16 05:58:47 host/client.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 2 06/09/16 11:23:01 host/client.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 1 03/09/16 13:57:16 krbtgt/EXAMPLE.COM@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 1 03/09/16 13:57:16 HTTP/server.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96) 1 03/09/16 13:57:16 ldap/server.example.com@EXAMPLE.COM(aes256-cts-hmac-sha1-96)
この出力は、client.example.com
のキータブエントリーのキーが、より高い KVNO で再生成されたことを示しています。元のキータブは、以前の KVNO で引き続きデータベースに存在します。古いキータブに対して発行されたチケットは引き続き機能しますが、KVNO のキーを使用して新しいチケットが発行されます。これにより、システム操作の中断が回避されます。