Solaris のシステム管理 (第 2 巻)

SEAM クライアントの構成

SEAM クライアントは、SEAM サービスを使用する同じネットワーク上のすべてのホスト (KDC サーバーを除く) です。この節では、SEAM クライアントのインストール手順と、root 認証を使用して NFS ファイルシステムをマウントするための特定の方法を説明します。

SEAM クライアントを構成する手順は 2 つあります。「SEAM クライアントの構成を完成する方法」は、システムのインストール中に部分的に設定された SEAM クライアントを構成する情報です。「SEAM クライアントを構成する方法」は、Solaris 8 リリースのインストールで SEAM の構成を全く行わなかった場合の SEAM クライアントの構成手順です。

SEAM クライアントを構成する方法

次の構成パラメータが使用されます。

レルム名 = ACME.COM

DNS ドメイン名 = acme.com

マスター KDC = kdc1.acme.com

スレーブ KDC = kdc2.acme.com

クライアント = client.acme.com

admin プリンシパル = kws/admin

ユーザープリンシパル = mre

SEAM クライアントを構成するための前提条件

admin サーバーの KDC がすでに構成され、動作していなければなりません。さらに、DNS がインストールされ、/etc/resolv.conf ファイルが正しく構成されている必要があります。

クライアント上でスーパーユーザーになります。

PAM 構成ファイル (pam.conf) を編集します。

最後の 8 行からコメント記号を削除して Kerberos PAM モジュールを有効にします。

client1 # tail -11 /etc/pam.conf
#
# Support for Kerberos V5 authentication (uncomment to use Kerberos)
#
rlogin auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
login  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
dtlogin        auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
other  auth optional   /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass
dtlogin        account optional /usr/lib/security/$ISA/pam_krb5.so.1
other  account optional /usr/lib/security/$ISA/pam_krb5.so.1
other  session optional /usr/lib/security/$ISA/pam_krb5.so.1
other  password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass

NFS セキュリティサービス構成ファイル (nfssec.conf) を編集します。

Kerberos サービスを記述する行からコメント記号を削除します。

client1 # cat /etc/nfssec.conf
  .
  .
#
# Uncomment the following lines to use Kerberos V5 with NFS
#
krb5           390003  kerberos_v5     default -       # RPCSEC_GSS
krb5i          390004  kerberos_v5     default integrity       # RPCSEC_GSS
default         1       -       -       -       # default is AUTH_SYS

Kerberos 構成ファイル (krb5.conf) を編集します。

デフォルトのファイルを変更する場合は、レルム名とサーバー名を変更する必要があります。

client1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM

[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }

[domain_realm]
        .acme.com = ACME.COM

(省略可能) NTP または別のクロック同期化機構を使用して、マスター KDC のクロックと同期させます。

NTP については、「KDC と SEAM クライアントのクロックの同期化」を参照してください。

新しいプリンシパルを追加します。

KDC とともに提供される管理ツールを使用して、クライアントに対して新しいプリンシパルを追加します。
1. NFS サービスプリンシパルを次の名前で作成します。
  
  nfs/client1.acme.com
2. root プリンシパルを次の名前で作成します。
  
  root/client1.acme.com
3. host プリンシパルを次の名前で作成します。
  
  host/client1.acme.com
4. root プリンシパルを keytab ファイルに追加します。
  
  root/client1.acme.com プリンシパルが keytab ファイルに追加されていることを確認します。

クライアントから Kerberos チケットの期限切れをユーザーに警告する場合は、/etc/krb5/warn.conf ファイルのエントリを構成します。

詳細は、warn.conf(4) のマニュアルページを参照してください。

SEAM クライアントの構成を完成する方法

クライアントをインストールするときに部分的にインストールされた SEAM クライアントを構成する場合は、「SEAM クライアントを構成する方法」の手順に従ってください。ただし、インストールはすでに開始されているため、pam.conf、nfssec.con、krb5.conf を編集しないでその内容を確認してください。