KDC サーバーの構成
Kerberos ソフトウェアをインストールしたら、鍵配布センター (KDC) サーバーを構成する必要があります。マスター KDC と少なくとも 1 つのスレーブ KDC を構成することによって、資格を発行するサービスが提供されます。これらの資格は Kerberos サービスの基盤であるため、ほかのタスクを試行する前に KDC を構成しておく必要があります。
マスター KDC とスレーブ KDC のもっとも大きな違いは、マスター KDC だけがデータベース管理リクエストを処理できることです。たとえば、パスワードの変更や新しい主体の追加は、マスター KDC で行います。これらの変更は、スレーブ KDC に伝播されます。資格の生成は、スレーブ KDC とマスター KDC が行います。スレーブ KDC は、マスター KDC が応答できない場合の冗長性を提供します。
マスター KDC サーバー、データベース、および追加のサーバーを構成および構築するには、次のさまざまな方法を選択できます。
-
自動 – スクリプトに推奨されます
-
対話型 – ほとんどのインストールにはこれで十分です
-
手動 – より複雑なインストールに必要です
-
LDAP を使用した手動 – KDC で LDAP を使用する場合に必要です
表 4 タスクマップ: KDC サーバーの構成
|
|
|
|
KDC パッケージをインストールします。
|
KDC を作成するために必要なパッケージ。
|
|
|
(オプション) FIPS 140-2 モードで実行するように Kerberos を構成します。
|
FIPS 140-2 検証済みアルゴリズムの使用のみを有効にします。
|
|
|
スクリプトを使用してマスター KDC を構成します。
|
初期構成を簡略化します。
|
|
|
スクリプトを使用してスレーブ KDC サーバーを構成します。
|
初期構成を簡略化します。
|
|
|
マスター KDC サーバーを手動で構成します。
|
初期インストール中に KDC 構成ファイル内のすべてのエントリを制御できます。
|
|
|
スレーブ KDC サーバーを手動で構成します。
|
初期インストール中に KDC 構成ファイル内のすべてのエントリを制御できます。
|
|
|
2 番目のマスター KDC サーバーを手動で構成します。
|
Oracle Directory Server Enterprise Edition (DSEE) LDAP サーバーを含むマルチマスター構成を作成します。
|
|
|
KDC サーバー上の主体鍵を置き換えます。
|
より強力な暗号化タイプを使用するために、レガシー KDC サーバー上のセッション鍵を更新します。
|
|
|
LDAP を使用するようにマスター KDC を手動で構成します。
|
LDAP を使用するようにマスター KDC サーバーおよび Kerberos クライアントを構成します。
|
|
|