Show Table of Contents
11.3. Kerberos クライアントの設定
Kerberos 5 クライアントの設定に必要となるのは、クライアントパッケージをインストールし、各クライアントに有効な
krb5.conf 設定ファイルを提供することです。ssh および slogin がクライアントシステムへのリモートでのログイン方法として推奨されますが、rsh および rlogin の Kerberos 対応バージョンも追加の設定変更で利用可能になります。
krb5-libsおよびkrb5-workstationのパッケージをすべてのクライアントマシンにインストールします。[root@server ~]# yum install krb5-workstation krb5-libs
- 各クライアントに有効な
/etc/krb5.confファイルを提供します。これは通常、Kerberos 配信センター (KDC) が使用するkrb5.confファイルと同じ場合が多いです。例を示します。[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = EXAMPLE.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true allow_weak_crypto = true [realms] EXAMPLE.COM = { kdc = kdc.example.com.:88 admin_server = kdc.example.com default_domain = example.com } [domain_realm] .example.com = EXAMPLE.COM example.com = EXAMPLE.COM環境によっては、KDC は HTTPS Kerberos 配信センタープロキシー (KKDCP) を使用する場合のみアクセス可能です。このような場合には、以下の変更を加えてください。[realms]セクションのkdcおよびadmin_serverオプションには、ホスト名の代わりに KKDCP の URL を割り当ててください。[realms] EXAMPLE.COM = { kdc = https://kdc.example.com/KdcProxy admin_server = https://kdc.example.com/KdcProxy kpasswd_server = https://kdc.example.com/KdcProxy default_domain = example.com }冗長化に向け、異なる KKDCP サーバーを使用してkdc、admin_server、kpasswd_serverは複数回追加することができます。- IdM クライアントで
sssdサービスを再起動して変更を適用します。[root@server ~]# systemctl restart sssd
- Kerberos に対応した
rshとrloginのサービスを使用するために、rshパッケージをインストールします。 - ワークステーションで Kerberos を使って、
ssh、rsh、またはrloginを使用して接続するユーザーを認証する前に、Kerberos データベースに独自のホストプリンシパルが必要になります。sshd、kshd、およびklogindの各サーバープログラムは、すべてホストサービスのプリンシパルの鍵へのアクセスが必要になります。kadminを使ってワークステーション用のホストプリンシパルを KDC 上に追加します。このケースでのインスタンスは、ワークステーションのホスト名になります。kadminのaddprincコマンドに-randkeyオプションを使用してプリンシパルを作成し、それをランダムな鍵に割り当てます。addprinc -randkey host/server.example.com
- ワークステーション用の鍵は、
kadminをワークステーション上で実行して、ktaddコマンドを使用すると抽出できます。ktadd -k /etc/krb5.keytab host/server.example.com
- Kerberos に対応した他のネットワークサービスを使用するには、krb5-server パッケージをインストールしてサービスを起動します。Kerberos に対応したサービスは 表11.3「一般的な Kerberos 対応サービス」 に一覧表示されます。
表11.3 一般的な Kerberos 対応サービス
| サービス名 | 使用方法 |
|---|---|
| ssh | クライアントおよびサーバー両方の設定で GSSAPIAuthentication が有効になっている場合、OpenSSH は GSS-API を使ってサーバーへのユーザー認証を行います。クライアントの GSSAPIDelegateCredentials も有効になっている場合は、ユーザーの認証情報はリモートシステムでも利用可能になります。OpenSSH には sftp ツールも含まれます。このツールは、FTP に似たインターフェースを SFTP サーバーに提供し、GSS-API を使用することができます。 |
| IMAP | cyrus-sasl-gssapi パッケージもインストールされていれば、cyrus-imap パッケージは Kerberos 5 を使用します。cyrus-sasl-gssapi パッケージには Cyrus SASL プラグインが含まれており、これは GSS-API 認証に対応しています。Cyrus IMAP は、cyrus ユーザーが /etc/krb5.keytab で適切な鍵を見つけることができ、プリンシパルの root が imap (kadmin で作成) に設定されていれば、Kerberos と正常に機能します。
cyrus-imap の代わりは dovecot パッケージ内にあり、これは Red Hat Enterprise Linux に含まれています。このパッケージには IMAP サーバーは含まれていますが、現在のところ GSS-API と Kerberos には対応していません。
|
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.