第12章 ユーザー、ホスト、およびサービス用の Kerberos プリンシパルエイリアスの管理

新しいユーザー、ホスト、またはサービスを作成すると、以下の形式で Kerberos プリンシパルが自動的に追加されます。

  • user_name@REALM
  • host/host_name@REALM
  • service_name/host_name@REALM

管理者は、エイリアスを使用して、ユーザー、ホスト、またはサービスが Kerberos アプリケーションに対して認証できるようにすることができます。これは、次のような状況で役立ちます。

  • ユーザー名の変更後に、ユーザーが以前のユーザー名と新しいユーザー名の両方でログインする必要がある。
  • IdM Kerberos レルムがメールドメインと異なる場合でも、ユーザーはメールアドレスを使用してログインする必要がある。

ユーザーの名前を変更すると、オブジェクトはエイリアスと以前の正規プリンシパル名を保持することに注意してください。

12.1. Kerberos プリンシパルエイリアスの追加

Identity Management (IdM) 環境では、エイリアス名を既存の Kerberos プリンシパルに関連付けることができます。これにより、セキュリティーが強化され、IdM ドメイン内の認証プロセスが簡素化されます。

手順

  • エイリアス名 useralias をアカウント user に追加するには、次のように入力します。

    # ipa user-add-principal <user> <useralias>
    --------------------------------
    Added new aliases to user "user"
    --------------------------------
             User login: user
        Principal alias: user@IDM.EXAMPLE.COM, useralias@IDM.EXAMPLE.COM

    ホストまたはサービスにエイリアスを追加するには、代わりにそれぞれ ipa host-add-principal または ipa service-add-principal コマンドを使用します。

    エイリアス名を使用して認証する場合は、kinit コマンドで -C オプションを使用します。

    # kinit -C <useralias>
    Password for <user>@IDM.EXAMPLE.COM: