ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
Kerberos 管理権限を制限して SEAM ツールを使用する
Kerberos サービス主体をキータブファイルに追加する方法
このセクションでは、SEAM ツールを使用して主体を管理する手順について説明します。また、対応するコマンド行がある場合は、その例も示します。
|
SEAM Toolは簡単に使用できますが、新しい主体を自動作成することができません。10 個または 100 個などの新しい主体を短時間で作成する場合は、自動作成を利用すると便利です。Bourne シェルスクリプトで kadmin.local コマンドを使用すると、それを行うことができます。
次のシェルスクリプト行は、新しい主体を自動作成する方法の例を示します。
awk '{ print "ank +needchange -pw", $2, $1 }' < /tmp/princnames | time /usr/sbin/kadmin.local> /dev/null
この例は、見やすいように 2 行に分割しています。このスクリプトは、princnames というファイルを読み込んで、そこに含まれている主体名とそのパスワードを Kerberos データベースに追加します。princnames ファイルをあらかじめ作成する必要があります。このファイルの各行には、主体とそのパスワードを 1 つ以上の空白で区切って指定します。+needchange オプションを指定すると、ユーザーがその主体を使用して初めてログインしたときに、新しいパスワードを要求するプロンプトが表示されるように主体が構成されます。この方法は、princnames ファイル内のパスワードがセキュリティーリスクにならないようにするのに役立ちます。
より複雑なスクリプトも作成できます。たとえば、ネームサービスの情報を使用して、主体名に対応するユーザー名の一覧を取得できます。必要な作業とその方法は、使用環境要件とスクリプト使用技術によって決まります。
対応するコマンド行の例は、この手順のあとに示します。
詳細は、「SEAM ツールを起動する方法」を参照してください。
$ /usr/sbin/gkadmin
主体の一覧が表示されます。
「Filter」フィールドにフィルタ文字列を入力して、Return キーを押します。フィルタが正常終了すると、フィルタに一致する主体の一覧が表示されます。
フィルタ文字列は、1 文字以上の文字列である必要があります。フィルタメカニズムでは大文字と小文字が区別されるため、大文字と小文字を正しく指定する必要があります。たとえば、フィルタ文字列 ge を入力すると、フィルタメカニズムによって、文字列 ge が含まれる主体 (george、edge など) のみが表示されます。
すべての主体を表示するには、「Clear Filter」をクリックします。
例 23-1 Kerberos 主体の一覧の表示 (コマンド行)
次の例では、kadmin の list_principals コマンドを使用して、kadmin* と一致するすべての主体を表示します。list_principals コマンドでは、ワイルドカードを使用できます。
kadmin: list_principals kadmin* kadmin/changepw@EXAMPLE.COM kadmin/kdc1.example.con@EXAMPLE.COM kadmin/history@EXAMPLE.COM kadmin: quit
対応するコマンド行の例は、この手順のあとに示します。
詳細は、「SEAM ツールを起動する方法」を参照してください。
$ /usr/sbin/gkadmin
「Principal Basic」パネルが表示され、主体の属性の一部が示されます。
属性情報は、3 つのウィンドウに表示されます。「Help」メニューから「Context-Sensitive Help」を選択すると、各ウィンドウの属性に関する情報が表示されます。主体のすべての属性の説明については、「SEAM ツールパネルの説明」を参照してください。
例 23-2 Kerberos 主体の属性の表示
次の例は、jdb/admin 主体を表示したときの最初のウィンドウを示しています。
例 23-3 Kerberos 主体の属性の表示 (コマンド行)
次の例では、kadmin の get_principal コマンドを使用して、jdb/admin 主体の属性を表示します。
kadmin: getprinc jdb/admin Principal: jdb/admin@EXAMPLE.COM Expiration date: [never] Last password change: [never] Password expiration date: Wed Apr 14 11:53:10 PDT 2011 Maximum ticket life: 1 day 16:00:00 Maximum renewable life: 1 day 16:00:00 Last modified: Mon Sep 28 13:32:23 PST 2009 (host/admin@EXAMPLE.COM) Last successful authentication: [never] Last failed authentication: [never] Failed password attempts: 0 Number of keys: 1 Key: vno 1, AES-256 CTS mode with 96-bit SHA-1 HMAC, no salt Key: vno 1, AES-128 CTS mode with 96-bit SHA-1 HMAC, no salt Key: vno 1, Triple DES with HMAC/sha1, no salt Key: vno 1, ArcFour with HMAC/md5, no salt Key: vno 1, DES cbc mode with RSA-MD5, no salt Attributes: REQUIRES_HW_AUTH Policy: [none] kadmin: quit
対応するコマンド行の例は、この手順のあとに示します。
詳細は、「SEAM ツールを起動する方法」を参照してください。
注 - 新しい主体を作成するときに、新しいポリシーが必要な場合は、新しいポリシーを作成してから新しい主体を作成する必要があります。「新しい Kerberos ポリシーを作成する方法」を参照してください。
$ /usr/sbin/gkadmin
「Principal Basics」パネルが表示され、主体の属性の一部が示されます。
主体名とパスワードは必須です。
暗号化鍵タイプフィールドの右にあるボックスをクリックして、使用可能なすべての暗号化鍵タイプを表示する新しいウィンドウを開きます。必須の暗号化タイプを選択してから、「OK」をクリックします。
属性情報は、3 つのウィンドウに表示されます。「Help」メニューから「Context-Sensitive Help」を選択すると、各ウィンドウの属性に関する情報が表示されます。主体のすべての属性の説明については、「SEAM ツールパネルの説明」を参照してください。
詳細は、「Kerberos 管理権限を変更する方法」を参照してください。
例 23-4 新しい Kerberos 主体の作成
次の例は、pak という新しい主体を作成するときの「Principal Basics」パネルです。ポリシーには、testuser が設定されています。
例 23-5 新しい Kerberos 主体の作成 (コマンド行)
次の例では、kadmin の add_principal コマンドを使用して、pak という新しい主体を作成します。この主体のポリシーには、testuser が設定されています。
kadmin: add_principal -policy testuser pak Enter password for principal "pak@EXAMPLE.COM": <Type the password> Re-enter password for principal "pak@EXAMPLE.COM": <Type the password again> Principal "pak@EXAMPLE.COM" created. kadmin: quit
この手順では、既存の主体の一部またはすべてを使用して、新しい主体を作成する方法について説明します。この手順に対応するコマンド行はありません。
詳細は、「SEAM ツールを起動する方法」を参照してください。
$ /usr/sbin/gkadmin
「Principal Basics」パネルが表示されます。選択した主体のすべての属性が複製されます。ただし、「Principal Name」と「Password」フィールドは複製されず、空で表示されます。
主体名とパスワードは必須です。選択した主体をそのまま複製するときは、「Save」をクリックして、手順 7 に進みます。
属性情報は、3 つのウィンドウに表示されます。「Help」メニューから「Context-Sensitive Help」を選択すると、各ウィンドウの属性に関する情報が表示されます。主体のすべての属性の説明については、「SEAM ツールパネルの説明」を参照してください。
詳細は、「Kerberos 管理権限を変更する方法」を参照してください。
対応するコマンド行の例は、この手順のあとに示します。
詳細は、「SEAM ツールを起動する方法」を参照してください。
$ /usr/sbin/gkadmin
「Principal Basic」パネルが表示され、主体の属性の一部が示されます。
属性情報は、3 つのウィンドウに表示されます。「Help」メニューから「Context-Sensitive Help」を選択すると、各ウィンドウの属性に関する情報が表示されます。主体のすべての属性の説明については、「SEAM ツールパネルの説明」を参照してください。
注 - 主体名は変更できません。主体名を変更するときは、主体を複製し、新しい名前を指定して保存してから、古い主体を削除する必要があります。
詳細は、「Kerberos 管理権限を変更する方法」を参照してください。
例 23-6 Kerberos 主体のパスワードの変更 (コマンド行)
次の例では、kadmin の change_password コマンドを使用して、jdb 主体のパスワードを変更します。change_password コマンドでは、主体のパスワード履歴に存在するパスワードには変更できません。
kadmin: change_password jdb Enter password for principal "jdb": <Type the new password> Re-enter password for principal "jdb": <Type the password again> Password for "jdb@EXAMPLE.COM" changed. kadmin: quit
主体のその他の属性を変更するには、kadmin の modify_principal コマンドを使用する必要があります。
対応するコマンド行の例は、この手順のあとに示します。
詳細は、「SEAM ツールを起動する方法」を参照してください。
$ /usr/sbin/gkadmin
削除を確定すると、主体が削除されます。
詳細は、「Kerberos 管理権限を変更する方法」を参照してください。
例 23-7 Kerberos 主体の削除 (コマンド行)
次の例では、kadmin の delete_principal コマンドを使用して、jdb 主体を削除します。
kadmin: delete_principal pak Are you sure you want to delete the principal "pak@EXAMPLE.COM"? (yes/no): yes Principal "pak@EXAMPLE.COM" deleted. Make sure that you have removed this principal from all ACLs before reusing. kadmin: quit
この手順に対応するコマンド行はありません。
詳細は、「SEAM ツールを起動する方法」を参照してください。
$ /usr/sbin/gkadmin
「Properties」ウィンドウが表示されます。
「Help」メニューから「Context-Sensitive Help」を選択すると、各ウィンドウの属性に関する情報が表示されます。
使用する環境には、多くのユーザー主体が登録されていると思われます。しかし、Kerberos データベースの管理者は通常、少数のユーザーだけに割り当てます。Kerberos データベースを管理する権限は、Kerberos アクセス制御リスト (ACL) ファイル (kadm5.acl) によって判断されます。kadm5.acl ファイルを使用すると、主体ごとに権限を設定できます。主体名にワイルドカード (*) を使用すると、複数の主体に権限を指定できます。
kadm5.acl ファイルのエントリは、次の書式で記述する必要があります。
principal privileges [principal-target]
|
例 23-8 Kerberos 管理権限の変更
kadm5.acl ファイル内の次のエントリは、admin インスタンスを持つ EXAMPLE.COM レルム内の主体に対して、Kerberos データベースに関するすべての権限を与えます。
*/admin@EXAMPLE.COM *
kadm5.acl ファイル内の次のエントリは、jdb@EXAMPLE.COM 主体に対して、root インスタンスを持つすべての主体に関する追加、一覧表示、および照会の権限を与えます。
jdb@EXAMPLE.COM ali */root@EXAMPLE.COM