Kerberos ネットワークアプリケーションサーバーの構成

ネットワークアプリケーションサーバーとは、次のいずれかのネットワークアプリケーションを 1 つ以上使ってアクセスを提供するホストのことです。ftp、rcp、rlogin、rsh、ssh、telnet。いくつかの手順を実行するだけで、これらのコマンドの Kerberos バージョンをサーバー上で有効にすることができます。

Kerberos ネットワークアプリケーションサーバーを構成する方法

この手順では、次の構成パラメータを使用します。

アプリケーションサーバー = boston
admin 主体 = kws/admin
DNS ドメイン名 = example.com
レルム名 = EXAMPLE.COM

始める前に

この手順を行う場合には、マスター KDC がすでに構成されていなければなりません。このプロセスを十分にテストするには、複数の Kerberos クライアントが構成されている必要があります。

サーバー上でスーパーユーザーになります。
(省略可能) NTP クライアントなどのクロック同期メカニズムをインストールします。
NTP については、「KDC と Kerberos クライアントのクロックの同期化」を参照してください。
新しいサーバーの主体を追加し、そのサーバーのキータブファイルを更新します。
次のコマンドは、ホスト主体の存在有無を報告します。
```
boston # klist -k |grep host
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
```
このコマンドを実行しても主体が返されなかった場合、次の手順に従って新しい主体を作成します。
Kerberos GUI 管理ツールを使って主体を追加する方法は、「新しい Kerberos 主体を作成する方法」に説明されています。次の手順例は、コマンド行から必要な主体を追加する方法を示したものです。マスター KDC を構成するときに作成した admin 主体名を使用して、ログインする必要があります。
```
boston # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin: 
```
1. サーバーの host 主体を作成します。
  host 主体は、次のように使用されます。
  - rsh や ssh など、リモートコマンドの使用時にトラフィックを認証します。
  - pam_krb5 により、host 主体を使用してユーザーの Kerberos 資格が信頼できる KDC から取得されたことを確認し、KDC へのなりすまし攻撃を防ぎます。
  - root ユーザーが root 主体の存在なしで Kerberos 資格を自動的に取得できるようにします。これは、共有で Kerberos 資格が必要な場合に手動の NFS マウントを実行するのに役立つことがあります。
  リモートアプリケーションを使用するトラフィックに Kerberos サービスによる認証が必要な場合は、この主体が必要です。サーバーに複数のホスト名が割り当てられている場合は、ホスト名の FQDN 形式を使用してホスト名ごとに主体を作成します。
```
kadmin: addprinc -randkey host/boston.example.com
Principal "host/boston.example.com" created.
kadmin: 
```
2. サーバーのキータブファイルにサーバーの host 主体を追加します。
  kadmin コマンドが実行中でない場合は、次のようなコマンドでリブートします。/usr/sbin/kadmin -p kws/admin
  サーバーに複数のホスト名が割り当てられている場合は、ホスト名ごとに主体をキータブに追加します。
```
kadmin: ktadd host/boston.example.com
Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:
```
3. kadmin を終了します。
```
kadmin: quit
```

FTP の実行時に Generic Security Service を Kerberos とともに使用する方法

Generic Security Service (GSS) をアプリケーションに使用すると、認証、整合性、および機密性のために Kerberos を簡単に使用できます。次の手順は、ProFTPD の GSS サービスを有効にする方法を示しています。

FTP サーバー上でスーパーユーザーになります。
FTP サーバーの主体を追加し、そのサーバーのキータブファイルを更新します。
それらの変更を前に行なっている場合は、これらの手順が必要ないことがあります。
1. kadmin コマンドを起動します。
```
ftpserver1 # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin: 
```
2. FTP サーバーの host サービス主体を追加します。
```
kadmin: addprinc -randkey host/ftpserver1.example.com 
```
3. そのサーバーのkeytabファイルに host サービス主体を追加します。
```
kadmin: ktadd host/ftpserver1.example.com 
```

FTP サーバーの GSS を有効にします。

/etc/proftpd.conf ファイルに次の変更を行います。

# cat /etc/proftpd.conf
#User          ftp
#Group         ftp

User root
Group root

UseIPv6 off

LoadModule mod_gss.c

GSSEngine on
GSSKeytab /etc/krb5/krb5.keytab

FTP サーバーを再起動します。
```
# svcadm restart network/ftp
```

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris の管理: セキュリティーサービス Oracle Solaris 11 Information Library (日本語)