Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

11.3. Kerberos クライアントの設定

Kerberos 5 クライアントの設定に必要なのは、クライアントパッケージをインストールして各クライアントに有効な krb5.conf 設定ファイルを指定することです。クライアントシステムにリモートでログインする方法として sshslogin が推奨されますが、Kerberos 対応の rsh および rlogin は依然として、追加の設定変更を行います。
  1. クライアントマシンに krb5-libs パッケージおよび krb5-workstation パッケージをインストールします。
    [root@server ~]# yum install krb5-workstation krb5-libs
  2. 各クライアントに有効な /etc/krb5.conf ファイルを指定します。通常、これは Kerberos Distribution Center(KDC)が使用するものと同じ krb5.conf ファイルになります。以下に例を示します。
    [logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log
    
    [libdefaults]
     default_realm = EXAMPLE.COM
     dns_lookup_realm = false
     dns_lookup_kdc = false
     ticket_lifetime = 24h
     renew_lifetime = 7d
     forwardable = true
     allow_weak_crypto = true
    
    [realms]
      EXAMPLE.COM = {
      kdc = kdc.example.com.:88
      admin_server = kdc.example.com
      default_domain = example.com
     }
    
    [domain_realm]
     .example.com = EXAMPLE.COM
     example.com = EXAMPLE.COM
    一部の環境では、KDC は HTTPS Kerberos Key Distribution Center Proxy(KKDCP)のみを使用してアクセス可能です。この場合は、以下の変更を加えます。
    1. [realms] セクションの kdc および admin_server オプションに、ホスト名の代わりに KKDCP の URL を割り当てます。
      [realms]
      EXAMPLE.COM = {
        kdc = https://kdc.example.com/KdcProxy
        admin_server = https://kdc.example.com/KdcProxy
        kpasswd_server = https://kdc.example.com/KdcProxy
        default_domain = example.com
      }
      冗長性を確保するために、異なる KKDCP サーバーを使用して kdc 、admin_server、およびkpasswd_server パラメーターを複数回追加できます。
    2. IdM クライアントで sssd サービスを再起動して、変更を適用します。
      [root@server ~]# systemctl restart sssd
  3. Kerberos 対応の rsh および rlogin サービスを使用するには、rsh パッケージをインストールします
  4. ワークステーションが Kerberos を使用して ssh、rsh、または rlogin を使用して接続するユーザーを認証する前に、Kerberos データベースに独自のホストプリンシパルが必要になります。sshd、kshd、および klogind サーバープログラムはすべて、ホストサービスのプリンシパルのキーへのアクセスが必要になります。
    1. kadmin を使用して、KDC 上のワークステーション用のホストプリンシパルを追加します。この場合のインスタンスはワークステーションのホスト名です。kadmin 'saddprinc コマンドに -randkey オプションを使用してプリンシパルを作成し、ランダムキーを割り当てます。
      addprinc -randkey host/server.example.com
    2. この鍵は、ワークステーション自体で kadmin を実行して、kt add コマンドを使用してワークステーション用に抽出できます。
      ktadd -k /etc/krb5.keytab host/server.example.com
  5. その他の Kerberos 対応ネットワークサービスを使用するには、krb5-server パッケージをインストールしてサービスを起動します。Kerberos 表11.3「一般的な Kerberos 対応サービス」

表11.3 一般的な Kerberos 対応サービス

サービス名 使用方法
ssh クライアントとサーバー両方の設定で GSSAPIAuthentication が有効な場合に、OpenSSH は GSS-API を使用してサーバーにユーザーを認証します。クライアントも GSSAPIDelegateCredentials が有効になっている場合、ユーザーの認証情報がリモートシステムで利用可能になります。OpenSSH には sftp ツールも含まれています。これは SFTP サーバーに FTP のようなインターフェースを提供し、GSS-API を使用できます。
IMAP
cyrus-imap パッケージは、cyrus-sasl-gssapi パッケージがインストールされている場合に Kerberos 5 を使用します。cyrus-sasl-gssapi パッケージには、GSS-API 認証をサポートする Cyrus SASL プラグインが含まれます。Cyrus IMAP 機能は、Cyrus ユーザーが /etc/krb5.keytab で適切な鍵を見つけ、プリンシパルの root が (kadmin で作成された)に設定されている限り Kerberos で動作します。
cyrus-imap の代替は、dovecot パッケージにあります。これは、Red Hat Enterprise Linux にも同梱されています。このパッケージには IMAP サーバーが含まれていますが、GSS-API および Kerberos には対応していません。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。