Kerberos の機能拡張

Solaris 10 リリースに含まれる Kerberos の機能拡張は、次のとおりです。これらの機能拡張のいくつかは、以前の Software Express リリースでの新しい機能拡張です。

• Kerberos プロトコルのサポートは、ftp、rcp、rdist、rlogin、rsh、telnet などの遠隔アプリケーションで提供されています。詳細は、各コマンドまたはデーモンのマニュアルページおよび krb5_auth_rules(5) のマニュアルページを参照してください。

• Kerberos 主体データベースを転送するときに、データベース全体が毎回転送されるのではなく、増分更新によって転送されるようになりました。増分伝搬には、次のようないくつかの利点があります。

  • サーバー間でのデータベースの整合性が増す

  • ネットワーク資源や CPU 資源など、必要な資源が少なくて済む

  • 更新をよりタイムリーに伝播させることができる

  • 伝播を自動化することができる

• 新しいスクリプトを使用して、Kerberos クライアントを自動的に構成することができます。このスクリプトは、管理者が Kerberos クライアントを迅速かつ容易に設定するのを支援します。この新しいスクリプトの使用手順については、『Solaris のシステム管理 (セキュリティサービス)』の第 22 章「Kerberos サービスの構成 (手順)」を参照してください。詳細は、kclient(1M) のマニュアルページを参照してください。

• いくつかの新しい暗号化タイプが Kerberos サービスに追加されました。これらの新しい暗号化タイプによって、セキュリティーが向上し、それらの暗号化タイプをサポートするほかの Kerberos 実装との互換性が強化されます。暗号化タイプはすべて、mech(4) のマニュアルページに説明があります。詳細は、『Solaris のシステム管理 (セキュリティサービス)』の「Kerberos 暗号化タイプの使用」を参照してください。これらの暗号化タイプには、次の機能があります。

  • AES 暗号化タイプを使用すると、Kerberos セッションを短時間で安全に暗号化することができます。AES は、暗号化フレームワーク上で使用できます。

  • ARCFOUR-HMAC を使用すると、ほかのバージョンの Kerberos との互換性が向上します。

  • SHA1 での Triple DES (3DES) は、セキュリティーを向上させます。この暗号化タイプにより、この暗号化タイプをサポートする他の Kerberos 実装との相互運用性の強化も図れます。

• KDC ソフトウェアと kinit コマンドで、TCP ネットワークプロトコルを使用できるようになりました。この機能が追加されたことにより、動作がより安定し、ほかの Kerberos 実装との相互運用性が向上しています。KDC は、従来の UDP ポートだけでなく TCP ポートでも「待機」しているので、どちらのプロトコルを使用する要求にも応答できるようになりました。kinit コマンドは、要求を KDC に送信するときに、最初に UDP ポートへの接続を試みます。接続に失敗すると、kinit コマンドは TCP ポートへの接続を試みます。

• KDC ソフトウェアの kinit、klist、および kprop コマンドに、IPv6 へのサポートが追加されました。IPv6 アドレスがデフォルトでサポートされます。このサポートを有効にするために、構成パラメータを変更する必要はありません。

• kadmin コマンドの一部のサブコマンドに、新しい -e オプションが追加されました。この新しいオプションを使用して、主体を作成するときに暗号化タイプを選択することができます。詳細は、kadmin(1M) のマニュアルページを参照してください。

• PAM フレームワークを使用して Kerberos 資格キャッシュを管理するために、pam_krb5 モジュールが追加されています。詳細は、pam_krb5(5) のマニュアルページを参照してください。

• Kerberos KDC、管理サーバー、および kpasswd サーバー、およびホスト名またはドメイン名とレルムとの対応付け (DNS 検索を使用) が自動的に検出されます。このサポートにより、Kerberos クライアントのインストールに必要な手順の数が少なくなります。クライアントは、構成ファイルを読み取らなくても、DNS を使用して KDC サーバーを見つけることができます。詳細は、krb5.conf(4) のマニュアルページを参照してください。

• pam_krb5_migrate と呼ばれる新しい PAM モジュールが追加されました。Kerberos アカウントをまだ持っていないユーザーをローカル Kerberos レルムに自動的に移行するときには、この新しいモジュールが有効です。詳細は、pam_krb5_migrate(5) のマニュアルページを参照してください。

• ~/.k5login ファイルを GSS アプリケーションの ftp および ssh とともに使用できるようになりました。詳細は、krb5_auth_rules(5) のマニュアルページを参照してください。

• kproplog ユーティリティーが、各ログエントリのすべての属性名を表示するように更新されました。詳細については、kproplog(1M) のマニュアルページを参照してください。

• 構成ファイルの新しいオプションによって、TGT (チケット認可チケット、Ticket Granting Ticket) を厳密に検証する機能が、必要に応じてレルム単位で構成可能になりました。詳細は、krb5.conf(4) のマニュアルページを参照してください。

• パスワード変更ユーティリティーの機能が拡張され、パスワード変更の要求が Solaris 以外のクライアントから送信された場合でも、Solaris Kerberos V5 管理サーバーが受け入れることができます。詳細は、kadmin(1M) のマニュアルページを参照してください。

• 再実行キャッシュのデフォルトの場所が、RAM ベースのファイルシステムから /var/krb5/rcache/ の持続的記憶領域に移動しました。新しい場所では、システムがリブートされた場合に再実行から保護されます。rcache コードに対してパフォーマンスが強化されました。しかし、持続性記憶領域を使用するため、再実行キャッシュのパフォーマンスは全体的に低下する可能性があります。

• 再実行キャッシュを、ファイル記憶領域に割り当てるかメモリーだけに割り当てるかを設定できるようになりました。鍵テーブルおよび資格キャッシュの種類または場所に対して構成可能な環境変数の詳細については、krb5envvar(5) のマニュアルページを参照してください。

• GSS 資格テーブルが Kerberos の GSS メカニズムで必要ではなくなりました。詳細は、gsscred(1M)、gssd(1M)、および gsscred.conf(4) のマニュアルページを参照してください。

• Kerberos ユーティリティー kinit と ktutil が、MIT Kerberos version 1.2.1 に準拠するようになりました。この変更により、kinit コマンドに新しいオプションが追加され、ktutil コマンドに新しいサブコマンドが追加されました。詳細は、kinit(1) および ktutil(1) のマニュアルページを参照してください。

• Solaris の Kerberos 鍵配布センター (KDC) が、MIT の Kerberos version 1.2.1 ベースに基づいて変更されました。KDC では、現在のハッシュベースのデータベースよりも高い信頼性を備えた二分木ベースのデータベースがデフォルトで使用されるようになりました。詳細は、kdb5_util(1M) のマニュアルページを参照してください。Solaris 9 ユーザー向けに、この変更は Solaris 9 12/03 で新しく追加されました。