Go to main content
Oracle® Solaris 11.3 での Kerberos およびその他の認証サービスの管理

印刷ビューの終了

更新: 2017 年 3 月
 
 

Kerberos クライアントを対話的に構成する方法

この手順では、kclient インストールユーティリティーをインストールプロファイルなしで使用します。このクライアントを Active Directory サーバーに参加させる場合は、Kerberos クライアントを Active Directory サーバーに参加させる方法に進みます。

始める前に

root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。

  1. kclient コマンドを引数なしで実行します。 
    client# /usr/sbin/kclient

      このスクリプトによって、次の情報の入力を求められます。

    • Kerberos レルム名

    • KDC マスターホスト名

    • KDC スレーブホスト名

    • ローカルレルムにマップするドメイン

    • Kerberos 認証に使用する PAM サービス名およびオプション

    詳細は、kclient(1M) のマニュアルページを参照してください。

  2. KDC サーバーで Oracle Solaris リリースが実行されていない場合は、y と答え、KDC を実行しているサーバーのタイプを定義します。

    使用可能なサーバーのリストについては、kclient(1M) のマニュアルページの –T オプションを参照してください。

  3. Kerberos 検索に DNS を使用する場合は、y と答え、使用する DNS 検索オプションを示します。

    有効なオプションは、–dns_lookup_kdc–dns_lookup_realm、および –dns_fallback です。これらの値の詳細は、krb5.conf(4) のマニュアルページを参照してください。

  4. Kerberos レルムの名前とマスター KDC のホスト名を定義します。

    この情報は、/etc/krb5/krb5.conf 構成ファイルに追加されます。

  5. スレーブ KDC がレルム内に存在する場合は、y と答え、スレーブ KDC のホスト名を指定します。

    この情報は、クライアントの構成ファイルに追加の KDC エントリを作成するために使用されます。

  6. サービス鍵またはホスト鍵が必要な場合は、y と答えます。

    通常、クライアントシステムが Kerberos サービスをホストしていないかぎり、サービス鍵またはホスト鍵は必要ありません。

  7. クライアントがクラスタのメンバーである場合は、y と答え、そのクラスタの論理名を指定します。

    この論理ホスト名はサービス鍵の作成時に使用されます。これは、クラスタから Kerberos サービスをホストするときに必要です。

  8. 現在のレルムにマップするドメインまたはホストをすべて識別します。

    このマッピングにより、ほかのドメインをそのクライアントのデフォルトレルムに含めることができます。

  9. クライアントが Kerberos NFS を使用するかどうかを指定します。

    クライアントが Kerberos を使用して NFS サービスをホストする場合は、NFS サービス鍵を作成する必要があります。

  10. 新しい PAM ポリシーを作成する必要があるかどうかを示します。

      どの PAM サービスが認証に Kerberos を使用するかを設定するには、サービス名と Kerberos 認証の使用方法を示すフラグを指定します。有効なフラグオプションは次のとおりです。

    • first – 最初に Kerberos 認証を使用し、Kerberos 認証が失敗した場合にのみ UNIX を使用します

    • only – Kerberos 認証のみを使用します

    • optional – オプションで、Kerberos 認証を使用します

    Kerberos のために提供される PAM サービスについては、/etc/security/pam_policy 内のファイルを確認してください。

  11. マスターの /etc/krb5/krb5.conf ファイルをコピーするかどうかを指定します。

    このオプションにより、kclient の引数が十分でないときに特定の構成情報を使用できるようになります。

使用例 8  kclient スクリプトの実行例 
...
Starting client setup
---------------------------------------------------

Is this a client of a non-Solaris KDC ? [y/n]: n
No action performed.
Do you want to use DNS for kerberos lookups ? [y/n]: n
No action performed.
Enter the Kerberos realm: EXAMPLE.COM
Specify the KDC host name for the above realm: kdc1.example.com

Note, this system and the KDC's time must be within 5 minutes of each other for
Kerberos to function. Both systems should run some form of time synchronization
system like Network Time Protocol (NTP).
Do you have any slave KDC(s) ? [y/n]: y
Enter a comma-separated list of slave KDC host names: kdc2.example.com

Will this client need service keys ? [y/n]: n
No action performed.
Is this client a member of a cluster that uses a logical host name ? [y/n]: n
No action performed.
Do you have multiple domains/hosts to map to realm ? [y/n]: y
Enter a comma-separated list of domain/hosts to map to the default realm: corphdqtrs.example.com, \
example.com

Setting up /etc/krb5/krb5.conf.

Do you plan on doing Kerberized nfs ? [y/n]: y
Do you want to update /etc/pam.conf ? [y/n]: y
Enter a comma-separated list of PAM service names in the following format:
service:{first|only|optional}: xscreensaver:first
Configuring /etc/pam.conf.

Do you want to copy over the master krb5.conf file ? [y/n]: n
No action performed.

---------------------------------------------------
Setup COMPLETE.
Copyright © 2002, 2017, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ