2 番目のマスター KDC を手動で構成する方法

この手順では、次のパラメータを使用して、kdc2 という名前の 2 番目のマスター KDC を構成します。

• レルム名 = EXAMPLE.COM

• DNS ドメイン名 = example.com

• マスター KDC = kdc1.example.com

• kdc1 の admin 主体 = kws/admin

• kdc1 の LDAP サーバー = dsserver.example.com

• 2 番目のマスター KDC と LDAP サーバー = kdc2.example.com

• kdc2 の admin 主体 = tester/admin

新しい 2 番目のマスター KDC 上で、この手順のコマンドをすべて実行します。

始める前に

マスター KDC が構成されていることを確認してください。

KDC サーバー上で root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。

1. 2 番目のマスター KDC にログインし、LDAP TLS バインディングを構成します。

   TLS 鍵の構成例については、次を参照してください。

   • OpenLDAP クライアントの Oracle DSEE LDAP ディレクトリサーバー上でマスター KDC を構成する方法のStep 1

   • Oracle Unified Directory LDAP ディレクトリサーバー上でマスター KDC を構成する方法のStep 10。

2. このマスター KDC の Kerberos 構成ファイルに、1 番目のマスター KDC および LDAP サーバーを追加します。

   このファイルについては、krb5.conf(4) のマニュアルページを参照してください。次の例では、Oracle Directory Server Enterprise Edition サーバーを構成することを想定してします。

   kdc2# pfedit /etc/krb5/krb5.conf
   .
   .
   [realms]
        EXAMPLE.COM = {
           kdc = kdc1.example.com
           kdc = kdc2.example.com
           admin_server = kdc2.example.com
           admin_server = kdc1.example.com
           database_module = LDAP
        }
   [dbmodules]
        LDAP = {
           db_library =kldap
           ldap_kerberos_container_dn = "cn=krbcontainer,dc=example,dc=com"
           ldap_kdc_dn = "cn=kdc service,ou=profile,dc=example,dc=com"
           ldap_kadmind_dn = "cn=kadmin service,ou=profile,dc=example,dc=com"
           ldap_cert_path = /var/ldap
           ldap_servers = ldaps://kdc2.example.com ldaps://dsserver.example.com
        }
   ...

3. KDC および kadmin サービスへの LDAP バインディング用の stash ファイルを作成します。

   2 番目のマスター KDC 上では、kadmin サービスにも LDAP バインディング用の stash ファイルが存在する必要があります。

   kdc2# kdb5_ldap_util stashsrvpw "cn=kdc service,ou=profile,dc=example,dc=com"
   kdc2# kdb5_ldap_util stashsrvpw "cn=kadmin service,ou=profile,dc=example,dc=com"

4. マスター KDC の stash ファイルを作成します。

   kdc2# kdb5_util stash
   kdb5_util: Cannot find/read stored master key while reading master key
   kdb5_util: Warning: proceeding without master key
   
   Enter KDC database master key: xxxxxxxx

   詳細は、kdb5_util(1M) のマニュアルページを参照してください。

5. KDC 構成ファイルに Kerberos 構成ファイルの場所を追加します。

   # pfedit /etc/krb5/kdc.conf
    ...
    [realms]
            EXAMPLE.COM = {
                    profile = /etc/krb5/krb5.conf
    ...

6. 2 番目のマスター KDC の主体を作成します。

   通常、kdb5_ldap_util コマンドは KDC の管理主体を作成します。ただし、これらの主体の大部分は、1 番目のマスター KDC を作成したときに作成されています。この手順では、kadmin および changepw は 2 番目のマスター KDC 専用の主体です。

   # kadmin -p tester/admin
   kadmin: addprinc -randkey kadmin/kdc2.example.com
   kadmin: addprinc -randkey changepw/kdc2.example.com

7. このシステムのクロックをレルム内のほかのクロックと同期します。

   認証が成功するには、すべてのクロックが、krb5.conf ファイルの libdefaults セクションで定義されているデフォルトの時間内に収まっている必要があります。詳細は、krb5.conf(4) のマニュアルページおよびKDC と Kerberos クライアントのクロックの同期化を参照してください。

   ---

   注 -  マスター KDC をクロック同期サーバーにすることはできません。

   ---

   • まだクロック同期サーバーが存在しない場合は、1 台構成したあとに、この手順を実行します。
   • クロック同期サーバーが存在する場合は、PTP または NTP の手順に従って、このシステムをそのサーバーのクライアントにします。
     • PTP クライアントを構成するには、Oracle Solaris 11.3 でのクロック同期と Web キャッシュを使用したシステムパフォーマンスの拡張 の Precision Time Protocol の管理の手順に従います。
     • NTP クライアントを構成するには、Oracle Solaris 11.3 でのクロック同期と Web キャッシュを使用したシステムパフォーマンスの拡張 の Network Time Protocol の管理の手順に従います。
8. KDC および kadmin サービスを有効にします。

   kdc1# svcadm enable -r network/security/krb5kdc
   kdc1# svcadm enable -r network/security/kadmin