ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
Kerberos サービスのコンポーネントは、多数のリリースに組み込まれています。当初、Kerberos サービスと、Kerberos サービスをサポートするベースオペレーティングシステムへの変更は、「Sun Enterprise Authentication Mechanism」(SEAM) という製品名でリリースされました。Oracle Solaris ソフトウェアに組み込まれる SEAM 製品のコンポーネントが増えるにつれて、SEAM リリースの内容は減っていきました。Oracle Solaris 10 リリース以降、SEAM 製品のすべてのコンポーネントが組み込まれるようになったため、SEAM 製品は必要なくなりました。SEAM という製品名は、歴史的な理由でドキュメント中に存在しています。
次の表は、各リリースに組み込まれているコンポーネントの一覧です。それぞれの製品リリースは、時系列で示しています。次のセクションでは、すべてのコンポーネントについて説明します。
表 19-1 Kerberos リリースの内容
|
Oracle Solaris 10 リリースに含まれている拡張機能の詳細は、『System Administration Guide: Security Services』の「Kerberos Components」を参照してください。
MIT が配布する Kerberos V5 製品と同様に、Oracle Solaris リリースの Kerberos サービスには次が含まれています。
鍵配布センター (KDC):
Kerberos データベース管理デーモン – kadmind。
Kerberos チケット処理デーモン – krb5kdc。
データベース管理プログラム – kadmin (マスターのみ)、kadmin.local、および kdb5_util。
データベース伝播ソフトウェア – kprop (スレーブのみ) および kpropd。
資格を管理するためのユーザープログラム – kinit、klist、および kdestroy。
Kerberos パスワードを変更するユーザープログラム – kpasswd。
リモートアプリケーション – ftp、rcp、rlogin、rsh、scp、sftp、ssh、および telnet。
リモートアプリケーションデーモン – ftpd、rlogind、rshd、sshd、および telnetd。
キータブ管理ユーティリティー – ktutil。
Generic Security Service Application Programming Interface (GSS-API) – アプリケーションは、この API を利用して、複数のセキュリティーメカニズムを使用できます。新しいメカニズムを追加するたびに、アプリケーションをコンパイルし直す必要がありません。GSS-API では、アプリケーションを多くのオペレーティングシステムに移植可能にできる標準インタフェースが使用されています。GSS-API を使用すると、認証サービスだけでなく、整合性およびプライバシセキュリティーサービスをアプリケーションに組み込むことができます。ftp と ssh は、どちらも GSS-API を使用しています
RPCSEC_GSS Application Programming Interface (API) – NFS サービスが Kerberos 認証を使用することができます。RPCSEC_GSS は、使用しているメカニズムに依存しないセキュリティーサービスを提供するセキュリティー様式です。RPCSEC_GSS は、GSS-API 層の最上位に位置しています。GSS_API ベースのセキュリティーメカニズムは、プラグイン可能なので、RPCSEC_GSS を使用するアプリケーションで使用できます。
さらに、Oracle Solaris リリースの Kerberos サービスには、次も含まれています。
GUI ベースの Kerberos 管理ツール (gkadmin) – 主体および主体ポリシーを管理できます。この Java テクノロジベースの GUI は、kadmin コマンドに代わる機能です。
PAM 用の Kerberos V5 サービスモジュール – Kerberos サービスのための認証、アカウント管理、セッション管理、およびパスワード管理を提供します。このモジュールを使用すると、Kerberos 認証をユーザーが意識しなくても済むようになります。
カーネルモジュール – NFS サービスで使用する kerberos サービスのカーネルベースの実装を提供します。これにより、パフォーマンスが大幅に向上します。
このセクションでは、Oracle Solaris 11.1 リリースで使用できる変更内容を示します。
Kerberos ソフトウェアが MIT 1.8 リリースと同期化されました。次の機能が追加されました。
脆弱な暗号化タイプ arcfour-hmac-md5-exp、des-cbc-md5、および des-cbc-crc はデフォルトで禁止されています。/etc/krb5/krb5.conf ファイルで allow_weak_crypto = true 宣言を追加すると、それらの脆弱な暗号化アルゴリズムを使用できるようになります。
/etc/krb5/krb5.conf ファイルで、permitted_enctypes 関係は、+ または - enctyp_family とともにオプションの DEFAULT キーワードを取ることによって、特定の暗号化タイプをデフォルトセットに追加または削除できます。
ほとんどの場合、KDC に最低限のリフェラルサポートを実装し、そのプロトコルを介してマッピング情報をクライアントに提供することにより、クライアント側では domain_realm マッピングテーブルが必要なくなります。サービス主体 name service/canonical-fqdn@LOCAL.REALM の要求をローカルの KDC に送信し、リフェラルを要求することで、クライアントは domain_realm マッピングテーブルなしで機能できます。この機能は、特定の名前型または特定の形式のサービス主体名に限られる場合があります。KDC はその domain_realm マッピングテーブルのみを使用できます。DNS へのブロック化クエリーは導入できません。
Kerberos データベースに LDAP バックエンドを使用している場合は、主体エントリの別名を作成できます。主体の別名のサポートは、1 つのサービスにさまざまなホスト名でアクセスできる場合、またはホスト名の正規化に DNS を使用できない、つまり短い書式が使用されている場合に役立ちます。ユーザーはサービスの識別に使われるさまざまな主体名に対して 1 つの別名を使用でき、キータブファイルには実際のサービス主体用の 1 組の鍵を入れておくだけで済みます。
kvno ユーティリティーを使用すると、/etc/krb5/krb5.keytab に格納されているサービス主体鍵に関する問題を診断できます。
kadmin ktadd コマンドは、ランダム化された新しい鍵を kadmind コマンドで作成できないようにする -norandkey オプションをサポートしています。-norandkey オプションは、パスワード派生鍵が含まれる主体のキータブを作成する場合に役立つことがあります。ユーザーはパスワードを指定しなくても kinit コマンドの実行に使用できるキータブを作成できます。
指定された制限時間内に一定数の事前認証エラーが発生すると、主体をロックアウトできます。詳細は、「アカウントロックアウトを構成する方法」を参照してください。
OK_AS_DELEGATE フラグを使用すると、委託された資格の受け入れを中間サーバーに信頼して任せられるかどうかに関するローカルレルムポリシーを KDC からクライアントに送ることができます。詳細は、「委託のためのサービスの信頼」を参照してください。
Kerberos サービスは、Solaris クライアントが複数の KDC マスター環境で更新を行う機能を提供するように更新されています。詳細は、例 21-15 を参照してください。
ktkt_warnd デーモンは、既存の資格で主体を登録したり、各ユーザーを明示的に指定しなくてもユーザーにメールを送信したりできるように拡張されています。さらに、このサービスはユーザーが構成できるようになりました。実際の例については、「すべてのチケット認可チケット (TGT) を自動的に更新する方法」を参照してください。