Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

11.2.3. Kerberos キー配布センタープロキシー

一部の管理者は、デプロイメントでデフォルトの Kerberos ポートにアクセスできないようにすることを選択する場合があります。ユーザー、ホスト、およびサービスが Kerberos 認証情報を取得できるようにするために、HTTPS ポート 443 を介して Kerberos と通信するプロキシーとして HTTPS サービスを使用できます。
Identity Management (IdM) では、Kerberos Key Distribution Center Proxy (KKDCP) がこの機能を提供します。

KKDCP サーバー

IdM サーバーでは、KKDCP がデフォルトで有効になります。KKDCP は、属性と値のペア ipaConfigString=kdcProxyEnabled がディレクトリーに存在する場合に、Apache Web サーバーが起動するたびに自動的に有効になります。このような状況では、シンボリックリンク /etc/httpd/conf.d/ipa-kdc-proxy.conf が作成されます。したがって、シンボリックリンクが存在することを確認することで、IdM サーバーで KKDCP が有効になっていることを確認できます。 
$ ls -l /etc/httpd/conf.d/ipa-kdc-proxy.conf
lrwxrwxrwx. 1 root root 36 Aug 15 09:37 /etc/httpd/conf.d/ipa-kdc-proxy.conf -> /etc/ipa/kdcproxy/ipa-kdc-proxy.conf
詳細は、以下のサーバー設定の例を参照してください。

例11.1 KKDCP サーバー I の設定

以下の設定例により、複数の Kerberos サーバーが使用される IdM KKDCP と Active Directory レルム間のトランスポートプロトコルとして TCP を使用できるようになります。
  1. /etc/ipa/kdcproxy/kdcproxy.conf ファイルの [global] セクションにある use_dns パラメーターを false に設定します。 
    [global]
use_dns = false
  2. プロキシーされたレルム情報を /etc/ipa/kdcproxy/kdcproxy.conf ファイルに入れます。プロキシーを使用する [AD.EXAMPLE.COM] レルムの場合は、たとえば次のようにレルム設定パラメーターを一覧表示します。 
    [AD.EXAMPLE.COM]
kerberos = kerberos+tcp://1.2.3.4:88 kerberos+tcp://5.6.7.8:88
kpasswd = kpasswd+tcp://1.2.3.4:464 kpasswd+tcp://5.6.7.8:464
    重要
    特定のオプションが複数回指定される可能性がある /etc/krb5.conf および kdc.conf とは対照的に、レルム設定パラメーターは、スペースで区切られた複数のサーバーをリストする必要があります。
  3. IdM サービスを再起動します。 
    # ipactl restart

例11.2 KKDCP サーバー II の設定

このサーバー設定の例は、DNS サービスレコードに依存して、通信する AD サーバーを見つけます。
  1. /etc/ipa/kdcproxy/kdcproxy.conf ファイルの [global] セクションで、use_dns パラメーターを true に設定します。 
    [global]
configs = mit
use_dns = true
    configs パラメーターを使用すると、他の設定モジュールをロードできます。この場合、設定は MIT libkrb5 ライブラリーから読み取られます。
  2. オプション: DNS サービスレコードを使用したくない場合は、明示的な AD サーバーを /etc/krb5.conf ファイルの [realms] セクションに追加します。たとえば、プロキシーを使用するレルムが AD.EXAMPLE.COM の場合は、以下を追加します。 
    [realms]
AD.EXAMPLE.COM = {
    kdc = ad-server.ad.example.com
    kpasswd_server = ad-server.ad.example.com
}
  3. IdM サービスを再起動します。 
    # ipactl restart

KKDCP クライアント

クライアントシステムは、/etc/krb5.conf ファイルを通じて KDC プロキシーを指定します。この手順に従って、AD サーバーに到達します。
  1. クライアントで、/etc/krb5.conf ファイルを開き、AD レルムの名前を [realms] セクションに追加します。 
    [realms]
AD.EXAMPLE.COM {
    kdc = https://ipa-server.example.com/KdcProxy
    kdc = https://ipa-server2.example.com/KdcProxy
    kpasswd_server = https://ipa-server.example.com/KdcProxy
    kpasswd_server = https://ipa-server2.example.com/KdcProxy
}
  2. /etc/sssd/sssd.conf ファイルを開き、krb5_use_kdcinfo = False 行を IdM ドメインセクションに追加します。 
    [domain/example.com]
krb5_use_kdcinfo = False
  3. SSSD サービスを再起動します。 
    # systemctl restart sssd.service

関連情報