test

Solaris のシステム管理 (セキュリティサービス)

Kerberos ネットワークアプリケーションサーバーの構成

ネットワークアプリケーションサーバーとは、次のいずれかのネットワークアプリケーションを 1 つ以上使ってアクセスを提供するホストのことです。 ftprcprloginrshsshtelnet。いくつかの手順を実行するだけで、これらのコマンドの Kerberos バージョンをサーバー上で有効にすることができます。

ProcedureKerberos ネットワークアプリケーションサーバーを構成する方法

この手順では、次の構成パラメータを使用します。

始める前に

この手順を行う場合には、マスター KDC がすでに構成されていなければなりません。このプロセスを十分にテストするには、複数の Kerberos クライアントが構成されている必要があります。

  1. (省略可能) NTP クライアントなどのクロック同期メカニズムをインストールします。

    NTP については、「KDC と Kerberos クライアントのクロックの同期化」を参照してください。

  2. 新しいサーバーの主体を追加し、そのサーバーのキータブを更新します。

    次のコマンドは、ホスト主体の存在有無を報告します。


    boston # klist -k |grep host
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM
4 host/boston.example.com@EXAMPLE.COM

    このコマンドを実行しても主体が返されなかった場合、次の手順に従って新しい主体を作成します。

    Kerberos グラフィカル管理ツールを使って主体を追加する方法については、「新しい Kerberos 主体を作成する方法」を参照してください。次の手順例は、コマンド行から必要な主体を追加する方法を示したものです。マスター KDC を構成するときに作成した admin 主体名を使用して、ログインする必要があります。


    boston # /usr/sbin/kadmin -p kws/admin
Enter password: <Type kws/admin password>
kadmin:

    1. サーバーの host 主体を作成します。

      host 主体を使用する目的は次のとおりです。

      • rshssh など、遠隔コマンドの使用時にトラフィックを認証します。

      • pam_krb5 により、host 主体を使用してユーザーの Kerberos 資格が信頼できる KDC から取得されたことを確認し、KDC へのなりすまし攻撃を防ぎます。

      • root ユーザーが root 主体の存在なしで Kerberos 資格を自動的に取得できるようにします。これは、共有で Kerberos 資格が必要な場合に手動の NFS マウントを実行するのに役立つことがあります。

      リモートアプリケーションを使用するトラフィックに Kerberos サービスによる認証が必要な場合は、この主体が必要です。サーバーに複数のホスト名が割り当てられている場合は、ホスト名の FQDN 形式を使用してホスト名ごとに主体を作成します。


      kadmin: addprinc -randkey host/boston.example.com
Principal "host/boston.example.com" created.
kadmin:

    2. サーバーの host 主体をサーバーのキータブに追加します。

      kadmin コマンドが実行中でないときは、次のようにコマンドを再起動します。 /usr/sbin/kadmin -p kws/admin

      サーバーに複数のホスト名が割り当てられている場合は、ホスト名ごとに主体をキータブに追加します。


      kadmin: ktadd host/boston.example.com
Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode
          with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc
          mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour
          with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode
          with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab.
kadmin:

    3. kadmin を終了します。


      kadmin: quit