LDAP ディレクトリサーバーでの KDC の管理

LDAP ディレクトリサーバーを使用した KDC 管理作業のほとんどは、DB2 サーバーを使用した場合と同じです。LDAP を使用した処理に特有の新しい作業がいくつかあります。

表 23–3 LDAP を使用するための KDC サーバーの構成 (作業マップ)

タスク	説明	参照先
マスター KDC を構成します。	手動のプロセスを使用し、さらに KDC 用に LDAP を使用して、レルムにマスター KDC サーバーとデータベースを構成および構築します。	「LDAP データサーバーを使用するように KDC を構成する方法」
Kerberos 主体属性を Kerberos 以外のオブジェクトクラス型と結び付けます	Kerberos レコードで格納された情報をほかの LDAP データベースと共有できるようになります。	「Kerberos 主体属性を Kerberos 以外のオブジェクトクラス型に結び付ける方法」
レルムを破棄します。	レルムに関連付けられたデータをすべて削除します。	「LDAP ディレクトリサーバーでレルムを破棄する方法」

Kerberos 主体属性を Kerberos 以外のオブジェクトクラス型に結び付ける方法

この手順により、Kerberos 主体属性を Kerberos 以外のオブジェクトクラス型に関連付けることができます。この手順では、krbprincipalaux、krbTicketPolicyAux、および krbPrincipalName 属性が people オブジェクトクラスに関連付けられます。

この手順では、次の構成パラメータを使用します。

• ディレクトリサーバー = dsserver.example.com

• ユーザー主体 = willf@EXAMPLE.COM

1. スーパーユーザーになります。

2. people オブジェクトクラスの各エントリを用意します。

   エントリごとに次の手順を繰り返します。

   cat << EOF | ldapmodify -h dsserver.example.com -D "cn=directory manager" dn: uid=willf,ou=people,dc=example,dc=com changetype: modify objectClass: krbprincipalaux objectClass: krbTicketPolicyAux krbPrincipalName: willf@EXAMPLE.COM EOF

3. サブツリー属性をレルムコンテナに追加します。

   この手順により、デフォルトの EXAMPLE.COM コンテナだけでなく、ou=people,dc=example,dc=com コンテナでも主体エントリを検索できるようになります。

   # kdb5_ldap_util -D "cn=directory manager" modify \ -subtrees 'ou=people,dc=example,dc=com' -r EXAMPLE.COM

4. (省略可能) KDC レコードが DB2 に格納されている場合は、DB2 エントリを移行します。

   1. DB2 エントリをダンプします。

      # kdb5_util dump > dumpfile

   2. データベースを LDAP サーバーにロードします。

      # kdb5_util load -update dumpfile

5. (省略可能) 主体属性を KDC に追加します。

   # kadmin.local -q 'addprinc willf'

LDAP ディレクトリサーバーでレルムを破棄する方法

この手順は、別の LDAP ディレクトリサーバーがレルムを処理するように構成されている場合に使用できます。

1. スーパーユーザーになります。

2. レルムを破棄します。

   # kdb5_ldap_util -D "cn=directory manager" destroy