Kerberos 主体属性を Kerberos 以外のオブジェクトクラス型に結び付ける方法

この手順により、Kerberos 主体属性を Kerberos 以外のオブジェクトクラス型に関連付けることができます。この手順では、krbprincipalaux、krbTicketPolicyAux、および krbPrincipalName 属性が people オブジェクトクラスに関連付けられます。

この手順では、次の構成パラメータを使用します。

• ディレクトリサーバー = dsserver.example.com

• ユーザー主体 = willf@EXAMPLE.COM

1. スーパーユーザーになります。

2. people オブジェクトクラスの各エントリを用意します。

   エントリごとに次の手順を繰り返します。

   cat << EOF | ldapmodify -h dsserver.example.com -D "cn=directory manager" dn: uid=willf,ou=people,dc=example,dc=com changetype: modify objectClass: krbprincipalaux objectClass: krbTicketPolicyAux krbPrincipalName: willf@EXAMPLE.COM EOF

3. サブツリー属性をレルムコンテナに追加します。

   この手順により、デフォルトの EXAMPLE.COM コンテナだけでなく、ou=people,dc=example,dc=com コンテナでも主体エントリを検索できるようになります。

   # kdb5_ldap_util -D "cn=directory manager" modify \ -subtrees 'ou=people,dc=example,dc=com' -r EXAMPLE.COM

4. (省略可能) KDC レコードが DB2 に格納されている場合は、DB2 エントリを移行します。

   1. DB2 エントリをダンプします。

      # kdb5_util dump > dumpfile

   2. データベースを LDAP サーバーにロードします。

      # kdb5_util load -update dumpfile

5. (省略可能) 主体属性を KDC に追加します。

   # kadmin.local -q 'addprinc willf'