Go to main content
Oracle® Solaris 11.3 での Kerberos およびその他の認証サービスの管理

印刷ビューの終了

更新: 2017 年 3 月
 
 

KDC と Kerberos クライアントのクロックの同期化

Kerberos 認証システムに参加するすべてのホストは、指定した最大時間内に収まるように内部クロックを同期化する必要があります (「クロックスキュー」)。この必要条件は、Kerberos セキュリティーの検査の 1 つです。参加しているホスト間のクロックスキューが超過すると、クライアントの要求が拒否されます。

クロックスキューはまた、アプリケーションサーバーが、再実行されたリクエストを認識して拒否するために Kerberos プロトコルメッセージを追跡する必要がある時間の長さも決定します。そのため、クロックスキュー値が長いほど、アプリケーションサーバーが収集する情報も多くなります。

最大クロックスキューのデフォルト値は、300 秒 (5 分) です。このデフォルトは、krb5.conf ファイルの libdefaults セクションで変更できます。

注 -  セキュリティー上の理由から、クロックスキュー値は 300 秒より大きくしないでください。

KDC と Kerberos クライアント間で同期されたクロックを維持することが重要であるため、PTP (Precision Time Protocol) または NTP (Network Time Protocol) ソフトウェアを使用してクロックを同期してください。これらのクロック同期ソフトウェアプロトコルの詳細は、Oracle Solaris 11.3 でのクロック同期と Web キャッシュを使用したシステムパフォーマンスの拡張を参照してください。

NTP ソフトウェアは、ほとんどの Oracle Solaris システム上にデフォルトでインストールされています。pkg install ptp コマンドを使用すると、PTP ソフトウェアをインストールできます。

次の図は、NTP クロック同期の例を示しています。

図 11  NTP を使用したクロック同期

image:図には、ntpd デーモンを実行している NTP クライアントと Kerberos クライアントのマスタークロックとして、中央の NTP サーバーが表示されています。

    KDC および Kerberos クライアントがクロックを同期化するには、次の手順を実行します。

  1. Kerberos ネットワーク上の PTP または NTP サーバーの設定。このサーバーは、マスター KDC 以外の任意のシステムにすることができます。

  2. ネットワーク上に KDC と Kerberos クライアントを構成する際に、それらをクロック同期サーバーのクライアントにします。マスター KDC に戻って、クロック同期サーバーのクライアントとして KDC を構成します。

  3. すべてのシステム上でのクロック同期サービスの有効化。

Copyright © 2002, 2017, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ