| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語) |
| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
|
Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
Kerberos サービスのコンポーネントは、多数のリリースに組み込まれています。当初、Kerberos サービスと、Kerberos サービスをサポートするベースオペレーティングシステムへの変更は、“Sun Enterprise Authentication Mechanism” (SEAM) という製品名でリリースされました。Oracle Solaris ソフトウェアに組み込まれる SEAM 製品のコンポーネントが増えるにつれて、SEAM リリースの内容は減っていきました。Oracle Solaris 10 リリース以降、SEAM 製品のすべてのコンポーネントが組み込まれるようになったため、SEAM 製品は必要なくなりました。SEAM という製品名は、歴史的な理由で文書中に存在しています。
次の表は、各リリースに組み込まれているコンポーネントの一覧です。それぞれの製品リリースは、時系列で示しています。次のセクションでは、すべてのコンポーネントについて説明します。
表 19-1 Kerberos リリースの内容
|
Oracle Solaris 10 リリースに組み込まれている拡張機能の詳細は、Kerberos のコンポーネントを参照してください。
MIT が配布する Kerberos V5 製品と同様に、Oracle Solaris リリースの Kerberos サービスには次が含まれています。
鍵配布センター (KDC):
Kerberos データベース管理デーモン – kadmind。
Kerberos チケット処理デーモン – krb5kdc。
データベース管理プログラム – kadmin (マスターのみ)、kadmin.local、および kdb5_util。
データベース伝播ソフトウェア – kprop (スレーブのみ) および kpropd。
資格を管理するためのユーザープログラム – kinit、klist、および kdestroy。
Kerberos パスワードを変更するユーザープログラム – kpasswd。
リモートアプリケーション – ftp、rcp、rlogin、rsh、ssh、および telnet。
リモートアプリケーションデーモン – ftpd、rlogind、rshd、sshd、および telnetd。
キータブ管理ユーティリティー – ktutil。
Generic Security Service Application Programming Interface (GSS-API) – アプリケーションは、この API を利用して、複数のセキュリティーメカニズムを使用できます。新しいメカニズムを追加するたびに、アプリケーションをコンパイルし直す必要がありません。GSS-API では、アプリケーションを多くのオペレーティングシステムに移植可能にできる標準インタフェースが使用されています。GSS-API を使用すると、認証サービスだけでなく、整合性およびプライバシセキュリティーサービスをアプリケーションに組み込むことができます。ftp と ssh は、どちらも GSS-API を使用しています
RPCSEC_GSS Application Programming Interface (API) – NFS サービスが Kerberos 認証を使用することができます。RPCSEC_GSS は、使用しているメカニズムに依存しないセキュリティーサービスを提供するセキュリティー様式です。RPCSEC_GSS は、GSS-API 層の最上位に位置しています。GSS_API ベースのセキュリティーメカニズムは、プラグイン可能なので、RPCSEC_GSS を使用するアプリケーションで使用できます。
さらに、Oracle Solaris リリースの Kerberos サービスには、次も含まれています。
GUI ベースの Kerberos 管理ツール (gkadmin) – 主体および主体ポリシーを管理できます。この Java テクノロジベースの GUI は、kadmin コマンドに代わる機能です。
PAM 用の Kerberos V5 サービスモジュール – Kerberos サービスのための認証、アカウント管理、セッション管理、およびパスワード管理を提供します。このモジュールを使用すると、Kerberos 認証をユーザーが意識しなくても済むようになります。
カーネルモジュール – NFS サービスで使用する kerberos サービスのカーネルベースの実装を提供します。これにより、パフォーマンスが大幅に向上します。
このセクションでは、Oracle Solaris 11 リリースで使用できる変更内容を示します。
Kerberos ソフトウェアが MIT 1.8 リリースと同期化されました。次の機能が追加されました。
脆弱な暗号化タイプ arcfour-hmac-md5-exp、des-cbc-md5、および des-cbc-crc はデフォルトで禁止されています。/etc/krb5/krb5.conf ファイルで allow_weak_crypto = true 宣言を追加すると、それらの脆弱な暗号化アルゴリズムを使用できるようになります。
/etc/krb5/krb5.conf ファイルで、permitted_enctypes 関係が、enctyp_family を + または – に設定したオプションの DEFAULT キーワードを取ることにより、特定の暗号化タイプをデフォルトセットに追加したり、デフォルトセットから削除したりできます。
ほとんどの場合、KDC に最低限のリフェラルサポートを実装し、そのプロトコルを介してマッピング情報をクライアントに提供することにより、クライアント側では domain_realm マッピングテーブルが必要なくなります。サービス主体 name service/canonical-fqdn@LOCAL.REALM の要求をローカルの KDC に送信し、リフェラルを要求することで、クライアントは domain_realm マッピングテーブルなしで機能できます。この機能は、特定の名前型または特定の形式のサービス主体名に限られる場合があります。KDC はその domain_realm マッピングテーブルのみを使用できます。DNS へのブロック化クエリーは導入できません。
Kerberos データベースに LDAP バックエンドを使用している場合は、主体エントリの別名を作成できます。主体の別名のサポートは、1 つのサービスにさまざまなホスト名でアクセスできる場合、またはホスト名の正規化に DNS を使用できない、つまり短い書式が使用されている場合に役立ちます。ユーザーはサービスの識別に使われるさまざまな主体名に対して 1 つの別名を使用でき、キータブファイルには実際のサービス主体用の 1 組の鍵を入れておくだけで済みます。
kvno ユーティリティーを使用すると、/etc/krb5/krb5.keytab に格納されているサービス主体鍵に関する問題を診断できます。
kadmin ktadd コマンドは、ランダム化された新しい鍵を kadmind コマンドで作成できないようにする -norandkey オプションをサポートしています。-norandkey オプションは、パスワード派生鍵が含まれる主体のキータブを作成する場合に役立つことがあります。ユーザーはパスワードを指定しなくても kinit コマンドの実行に使用できるキータブを作成できます。
指定された制限時間内に一定数の事前認証エラーが発生すると、主体をロックアウトできます。詳細は、「アカウントロックアウトを構成する方法」を参照してください。
OK_AS_DELEGATE フラグを使用すると、委託された資格の受け入れを中間サーバーに信頼して任せられるかどうかに関するローカルレルムポリシーを KDC からクライアントに送ることができます。詳細は、「委託のためのサービスの信頼」を参照してください。
1 組の静的に定義されたユーザーレベルのトレースには、Kerberos が追加されている理由が示されています。これらの検証によって、論理表示が Kerberos プロトコルメッセージに提供されます。例については、「Kerberos サービスでの DTrace の使用」を参照してください。
kclient スクリプトが機能拡張されました。このスクリプトには、Microsoft Active Directory サーバーを結合する機能が含まれています。手順については、「Kerberos クライアントを対話的に構成する方法」および 「Active Directory サーバー用に Kerberos クライアントを構成する方法」を参照してください。さらに、このスクリプトにはクライアントの KDC サーバータイプの識別に使用できる -T オプションも含まれています。このスクリプトのすべてのオプションは、kclient(1M) のマニュアルページに記載されています。
/etc/krb5/kadm5.keytab ファイルは必要なくなりました。このファイルに格納されていた鍵は、Kerberos データベースから直接読み取れるようになりました。
ディレクトリサーバーから LDAP を使用して Kerberos 主体とポリシーのレコードにアクセスする機能のサポートが追加されました。この変更により管理が簡略化されるため、KDC とディレクトリサーバーの配備によっては可用性が向上する場合があります。LDAP 関連の手順の一覧については、「LDAP ディレクトリサーバーでの KDC の管理」を参照してください。
新しい kdcmgr コマンドを使用すると、任意の KDC を自動的に、または対話形式で設定できます。このコマンドでは、マスターとスレーブの両方の KDC サーバーを作成します。また、kdcmgr コマンドを status オプションとともに使用すると、ローカルホストにインストールされている任意の KDC に関する情報を表示できます。表 21-1 の自動および対話形式による手順への指針を参照してください。
このリリースには、追加の設定が不要な Oracle Solaris クライアントのサポートが追加されました。Kerberos サービスと一部のデフォルト値が変更されました。適切に構成された環境では、Kerberos クライアントがクライアント側の構成なしで機能します。詳細は、「クライアントの構成オプション」を参照してください。
|