このセクションでは、Kerberos アプリケーションサーバーおよび KDC サーバー上のセキュリティーの強化に関するアドバイスを提供します。
マスター KDC およびスレーブ KDC には、KDC データベースのローカルコピーがあります。データベースを保護するためにこれらのサーバーへのアクセス権を制限することは、Kerberos 全体のセキュリティーにとって重要です。
KDC をサポートするハードウェアへの物理的なアクセスを制限します。
KDC サーバーとそのモニターがセキュアな施設内に設置されていることを確認してください。通常のユーザーがどのような方法でもこのサーバーにアクセスできてはいけません。
KDC データベースのバックアップを、ローカルディスクまたはスレーブ KDC に格納します。
KDC のバックアップをテープに作成する場合、そのテープのセキュリティーを十分に確保してください。キータブファイルのコピーも、同様に作成します。
推奨される方法として、これらのファイルをほかのシステムとは共有されていないローカルファイルシステム上に格納します。格納先のファイルシステムは、マスター KDC または任意のスレーブ KDC から選択できます。
Kerberos サービスで辞書ファイルを使用すると、その辞書にある単語が新しい資格のパスワードとして使用されることを防止できます。辞書の用語がパスワードとして使用されないようにすると、パスワードの推測が困難になります。デフォルトでは、/var/krb5/kadm5.dict ファイルが使用されますが、これは空です。
KDC 構成ファイル kdc.conf に、このサービスに辞書ファイルを使用することを指示するための行を追加する必要があります。この例では、管理者は spell ユーティリティーに含まれている辞書を使用したあと、Kerberos サービスを再起動します。構成ファイルの詳細は、kdc.conf(4) のマニュアルページを参照してください。
kdc1# pfedit /etc/krb5/kdc.conf
[kdcdefaults]
kdc_ports = 88,750
[realms]
EXAMPLE.COM = {
profile = /etc/krb5/krb5.conf
database_name = /var/krb5/principal
acl_file = /etc/krb5/kadm5.acl
kadmind_port = 749
max_life = 8h 0m 0s
max_renewable_life = 7d 0h 0m 0s
sunw_dbprop_enable = true
sunw_dbprop_master_ulogsize = 1000
dict_file = /usr/share/lib/dict/words
}
kdc1#
kdc1# svcadm restart -r network/security/krb5kdc
kdc1# svcadm restart -r network/security/kadmin