FIPS 140-2 モードで実行するように Kerberos を構成する方法 - Oracle® Solaris 11.3 での Kerberos およびその他の認証サービスの管理

Go to main content

Oracle^® Solaris 11.3 での Kerberos およびその他の認証サービスの管理

印刷ビューの終了

» ...Documentation Home » Oracle Solaris 11.3 Information Library (日本語) » Oracle^® Solaris 11.3 での ... » Kerberos サービスの構成 » KDC サーバーの構成 » FIPS 140-2 モードで実行するように Kerberos を構成する方法

更新: 2017 年 3 月

Oracle^® Solaris 11.3 での Kerberos およびその他の認証サービスの管理

ドキュメント情報

このドキュメントの使用法

第 1 章プラグイン可能認証モジュールの使用

第 2 章 Kerberos サービスについて

第 3 章 Kerberos サービスの計画

第 4 章 Kerberos サービスの構成

Kerberos サービスの構成

追加の Kerberos サービスの構成

KDC サーバーの構成

KDC パッケージをインストールする方法

FIPS 140-2 モードで実行するように Kerberos を構成する方法

kdcmgr を使用してマスター KDC を構成する方法

kdcmgr を使用してスレーブ KDC を構成する方法

マスター KDC を手動で構成する方法

スレーブ KDC を手動で構成する方法

2 番目のマスター KDC を手動で構成する方法

マスターサーバー上のチケット認可サービス鍵の置き換え

LDAP ディレクトリサーバー上での KDC サーバーの構成

OpenLDAP ディレクトリサーバー上でのマスター KDC の構成

Oracle Unified Directory サーバー上でのマスター KDC の構成

Oracle DSEE LDAP ディレクトリサーバー上でのマスター KDC の構成

Oracle DSEE サーバー上で Kerberos 以外のオブジェクトクラス型に Kerberos 主体の属性を混在させる方法

LDAP ディレクトリサーバー上で Kerberos レルムを破棄する方法

Kerberos クライアントの構成

Kerberos クライアントのインストールプロファイルの作成方法

Kerberos クライアントを自動的に構成する方法

Kerberos クライアントを対話的に構成する方法

Kerberos クライアントを Active Directory サーバーに参加させる方法

Kerberos クライアントを手動で構成する方法

チケット認可チケットの確認の無効化

Kerberos によって保護された NFS ファイルシステムに root ユーザーとしてアクセスする方法

Kerberos レルム内のユーザーを自動的に移行するように構成する方法

すべてのチケット認可チケットの自動的な更新

Kerberos ネットワークアプリケーションサーバーの構成

Kerberos ネットワークアプリケーションサーバーを構成する方法

FTP の実行時に Generic Security Service を Kerberos とともに使用する方法

Kerberos NFS サーバーの構成

Kerberos NFS サーバーを構成する方法

資格テーブルを作成および変更する方法

レルム間の資格マッピングを提供する方法

複数の Kerberos セキュリティーモードで安全な NFS 環境を設定する方法

Kerberos サービスへのアクセスのための遅延実行の構成

Kerberos サービスにアクセスするための cron ホストを構成する方法

レルム間認証の構成

階層関係のレルム間認証を設定する方法

直接接続のレルム間認証を確立する方法

KDC と Kerberos クライアントのクロックの同期化

マスター KDC とスレーブ KDC の入れ替え

入れ替え可能なスレーブ KDC を構成する方法

マスター KDC とスレーブ KDC を入れ替えする方法

Kerberos データベースの管理

Kerberos データベースのバックアップと伝播

Kerberos データベースのバックアップを復元する方法

サーバーのアップグレード後に Kerberos データベースを変換する方法

マスター KDC を再構成して増分伝播を使用する方法

スレーブ KDC を再構成して増分伝播を使用する方法

KDC サーバーが同期しているかを検査する方法

Kerberos データベースのスレーブ KDC への手動での伝播

Kerberos のための並列伝播の設定

並列伝播を設定するための構成手順

Kerberos データベースの stash ファイルの管理

Kerberos データベースの新しいマスター鍵を作成、使用、および格納する方法

Kerberos サーバー上のセキュリティーの強化

KDC サーバーへのアクセスの制限

辞書ファイルを使用したパスワードセキュリティーの強化

第 5 章 Kerberos 主体とポリシーの管理

第 6 章 Kerberos アプリケーションの使用

第 7 章 Kerberos サービスのリファレンス

第 8 章 Kerberos エラーメッセージとトラブルシューティング

第 9 章簡易認証セキュリティー層の使用

第 10 章 Oracle Solaris でのマルチファクタ認証へのスマートカードの使用

第 11 章 Oracle Solaris でのマルチファクタ認証へのワンタイムパスワードの使用

第 12 章ネットワークサービスの認証の構成

付録 A Kerberos 用の DTrace プローブ

認証サービスの用語集

言語:

FIPS 140-2 モードで実行するように Kerberos を構成する方法

マスター KDC および Kerberos 主体の鍵を作成する前に、次の手順を実行します。マスター KDC を手動で構成する方法で説明したように、マスター KDC を手動で構成する際は、次の手順を実行するようにしてください。

始める前に

Kerberos を FIPS 140-2 モードで実行するには、システムの FIPS 140-2 モードを有効にする必要があります。Oracle Solaris 11.3 での暗号化と証明書の管理 の FIPS 140-2 が有効になったブート環境を作成する方法を参照してください。

マスター KDC 上で、KDC 用に暗号化タイプを編集します。
kdc.conf ファイルの [realms] セクションで、KDC データベースのマスター鍵のタイプを設定します。
```
# pfedit  /etc/krb5/kdc.conf    
...
master_key_type = des3-cbc-sha1-kd
```
同じファイルで、ほかの暗号化タイプを明示的に禁止します。
コマンドを実行して暗号化を設定することもできるため、構成ファイルでコマンドへの非 FIPS 140-2 アルゴリズム引数の使用を禁止するようにしてください。
```
        supported_enctypes = des3-cbc-sha1-kd:normal
```
krb5.conf ファイルの [libdefaults] セクションで、トランザクション用の暗号化タイプを編集します。
これらのパラメータによって、Kerberos サーバー、サービス、およびクライアント用の暗号化タイプが制限されます。
```
# pfedit /etc/krb5/krb5.conf
        default_tgs_enctypes = des3-cbc-sha1-kd
        default_tkt_enctypes = des3-cbc-sha1-kd
        permitted_enctypes = des3-cbc-sha1-kd
```
同じファイルで、弱い暗号化タイプを明示的に禁止します。
```
        allow_weak_enctypes = false
```

トラブルシューティング

Kerberos 暗号化タイプを参照してください。

Copyright © 2002, 2017, Oracle and/or its affiliates. All rights reserved.