kdcmgr を使用してマスター KDC を構成する方法 - Oracle® Solaris 11.3 での Kerberos およびその他の認証サービスの管理

言語:

`kdcmgr` を使用してマスター KDC を構成する方法

kdcmgr スクリプトは、マスターおよびスレーブ KDC をインストールするためのコマンド行インタフェースを提供します。マスターの場合は、Kerberos データベースのパスワードと管理者のパスワードを作成する必要があります。スレーブ KDC 上で、これらのパスワードを指定してインストールを完了する必要があります。これらのパスワードについては、kdcmgr(1M) のマニュアルページを参照してください。

始める前に

root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

マスター KDC を作成します。

コマンド行で、kdcmgr コマンドを実行し、管理者とレルムを指定します。

マスター鍵と呼ばれる Kerberos データベースパスワードと、管理主体のパスワードの入力を求められます。スクリプトからパスワードの入力が求められます。

kdc1# kdcmgr -a kws/admin -r EXAMPLE.COM create master

Starting server setup
---------------------------------------

Setting up /etc/krb5/kdc.conf

Setting up /etc/krb5/krb5.conf

Initializing database '/var/krb5/principal' for realm 'EXAMPLE.COM',
master key name 'K/M@EXAMPLE.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:/** Type strong password **/
Re-enter KDC database master key to verify: xxxxxxxx

Authenticating as principal root/admin@EXAMPLE.COM with password.
WARNING: no policy specified for kws/admin@EXAMPLE.COM; defaulting to no policy
Enter password for principal "kws/admin@EXAMPLE.COM":/** Type strong password **/
Re-enter password for principal "kws/admin@EXAMPLE.COM": xxxxxxxx
Principal "kws/admin@EXAMPLE.COM" created.

Setting up /etc/krb5/kadm5.acl.

---------------------------------------------------
Setup COMPLETE.

kdc1#

注 - これらのパスワードを安全な場所に保存および保管してください。

(オプション) マスター KDC のステータスを表示します。
```
# kdcmgr status
```
このシステムのクロックをレルム内のほかのクロックと同期します。
認証が成功するには、すべてのクロックが、krb5.conf ファイルの libdefaults セクションで定義されているデフォルトの時間内に収まっている必要があります。詳細は、krb5.conf(4) のマニュアルページおよびKDC と Kerberos クライアントのクロックの同期化を参照してください。

注 - マスター KDC をクロック同期サーバーにすることはできません。
- まだクロック同期サーバーが存在しない場合は、1 台構成したあとに、この手順を実行します。
- クロック同期サーバーが存在する場合は、PTP または NTP の手順に従って、このシステムをそのサーバーのクライアントにします。
  - PTP クライアントを構成するには、Oracle Solaris 11.3 でのクロック同期と Web キャッシュを使用したシステムパフォーマンスの拡張 の Precision Time Protocol の管理の手順に従います。
  - NTP クライアントを構成するには、Oracle Solaris 11.3 でのクロック同期と Web キャッシュを使用したシステムパフォーマンスの拡張 の Network Time Protocol の管理の手順に従います。

使用例 6 引数なしでの kdcmgr コマンドの実行

この例では、スクリプトから入力を要求されたら、管理者はレルム名と管理主体を指定します。

kdc1# kdcmgr create master

Starting server setup
---------------------------------------

Enter the Kerberos realm: EXAMPLE.COM

Setting up /etc/krb5/kdc.conf

Setting up /etc/krb5/krb5.conf

Initializing database '/var/krb5/principal' for realm 'EXAMPLE.COM',
master key name 'K/M@EXAMPLE.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:/** Type strong password **/
Re-enter KDC database master key to verify: xxxxxxxx

Enter the krb5 administrative principal to be created: kws/admin

Authenticating as principal root/admin@EXAMPLE.COM with password.
WARNING: no policy specified for kws/admin@EXAMPLE.COM; defaulting to no policy
Enter password for principal "kws/admin@EXAMPLE.COM":/** Type strong password **/
Re-enter password for principal "kws/admin@EXAMPLE.COM": xxxxxxxx
Principal "kws/admin@EXAMPLE.COM" created.

Setting up /etc/krb5/kadm5.acl.

---------------------------------------------------
Setup COMPLETE.

kdc1#