LDAP ディレクトリサーバーを使用した KDC 管理作業のほとんどは、DB2 サーバーを使用した場合と同じです。LDAP を使用した処理に特有の新しい作業がいくつかあります。
表 23–3 LDAP を使用するための KDC サーバーの構成 (作業マップ)
タスク |
説明 |
参照先 |
---|---|---|
マスター KDC を構成します。 |
手動のプロセスを使用し、さらに KDC 用に LDAP を使用して、レルムにマスター KDC サーバーとデータベースを構成および構築します。 | |
Kerberos 主体属性を Kerberos 以外のオブジェクトクラス型と結び付けます |
Kerberos レコードで格納された情報をほかの LDAP データベースと共有できるようになります。 | |
レルムを破棄します。 |
レルムに関連付けられたデータをすべて削除します。 |
この手順により、Kerberos 主体属性を Kerberos 以外のオブジェクトクラス型に関連付けることができます。この手順では、krbprincipalaux、krbTicketPolicyAux、および krbPrincipalName 属性が people オブジェクトクラスに関連付けられます。
この手順では、次の構成パラメータを使用します。
ディレクトリサーバー = dsserver.example.com
ユーザー主体 = willf@EXAMPLE.COM
スーパーユーザーになります。
people オブジェクトクラスの各エントリを用意します。
エントリごとに次の手順を繰り返します。
cat << EOF | ldapmodify -h dsserver.example.com -D "cn=directory manager" dn: uid=willf,ou=people,dc=example,dc=com changetype: modify objectClass: krbprincipalaux objectClass: krbTicketPolicyAux krbPrincipalName: willf@EXAMPLE.COM EOF |
サブツリー属性をレルムコンテナに追加します。
この手順により、デフォルトの EXAMPLE.COM コンテナだけでなく、ou=people,dc=example,dc=com コンテナでも主体エントリを検索できるようになります。
# kdb5_ldap_util -D "cn=directory manager" modify \ -subtrees 'ou=people,dc=example,dc=com' -r EXAMPLE.COM |
(省略可能) KDC レコードが DB2 に格納されている場合は、DB2 エントリを移行します。
(省略可能) 主体属性を KDC に追加します。
# kadmin.local -q 'addprinc willf' |
この手順は、別の LDAP ディレクトリサーバーがレルムを処理するように構成されている場合に使用できます。