鍵の変更
次の節では、NIS+ 主体の鍵の変更方法を説明します。
注 –
サーバーの鍵を変更するときは、常にドメイン内の全クライアントの鍵情報も更新する必要があります。その方法は 「クライアントの鍵情報を更新する」で説明します。
ルートからルート鍵を変更する
ルートマスター (スーパーユーザーとして) からルートマスターサーバーの鍵を変更するには、表 13–2 の手順を実行します。
表 13–2 ルートマスター鍵の変更 - コマンドのまとめ|
作業 |
コマンド |
|---|---|
|
新規 DES 資格を作成 |
rootmaster# nisaddcred des |
|
NIS+ サービスを発見 |
rootmaster# svcs \*nisplus\* |
|
NIS+ サービスを停止 |
rootmaster# svcadm disable -t /network/rpc/nisplus:default |
|
-S 0 セキュリティオプションを削除 |
/lib/svc/method/nisplus ファイルを編集して -S 0 オプションを削除 |
|
セキュリティなしで NIS+ サービスを再起動 |
# svcadm enable network/rpc/nisplus |
|
keylogout を実行 (以前の keylogin はタイムアウト) |
rootmaster# keylogout -f |
|
マスターがディレクトリに保管していた鍵を更新 |
rootmaster# nisupdkeys dirs |
|
NIS+ サービスを発見 |
rootmaster# svcs \*nisplus\* |
|
NIS+ サービスを停止 |
rootmaster# svcadm disable -t /network/rpc/nisplus:default |
|
-S 0 セキュリティオプションを追加 |
/lib/svc/method/nisplus ファイルを編集して -S 0 オプションを追加 |
|
デフォルトセキュリティで NIS+ デーモンを再起動 |
# svcadm enable network/rpc/nisplus |
|
keylogin を実行 |
rootmaster# keylogin |
引数の意味は以下のとおりです。
-
dirs は更新するディレクトリオブジェクト (rootmaster によって保管されたディレクトリオブジェクト)
表 13–2 に示すプロセスの最初の手順では、nisaddcred がルートマスターの cred テーブルを更新し、/etc/.rootkey を更新し、ルートマスターのキーログインを実行します。この時点では、マスターに保管されたディレクトリオブジェクトが更新されておらず、その資格情報とルートマスターとは同期がとれていません。この手順に続く表 13–2 の手順は、すべてのオブジェクトを正しく更新するのに必要です。
注 –
サーバーの鍵を変更するときは、常にドメイン内の全クライアントの鍵情報も更新する必要があります。その方法は 「クライアントの鍵情報を更新する」で説明します。
別のマシンからルート鍵を変更する手順
別のマシンからルートマスターの鍵を変更する場合、それに必要な NIS+ 資格とそれを行う承認を得ていなくてはなりません。
表 13–3 別のマシンによるルートマスターの鍵の変更 - コマンドのまとめ|
作業 |
コマンド |
|---|---|
|
新規の DES 資格を作成 |
othermachine% nisaddcred -p principal -P nisprincipal des |
|
ディレクトリオブジェクトを更新 |
othermachine% nisupdkeysdirs |
|
/etc/.rootkey を更新 |
othermachine% keylogin -r |
|
クライアントとして再度初期化 |
othermachine% nisinit -cH |
引数の意味はそれぞれ以下のとおりです。
-
principal はルートマシンの Secure RPC ネット名。たとえば、以下のようになります。unix.rootmaster@doc.com (末尾のドットなし)
-
nis-principal はルートマシンの NIS+ 主体名。たとえば、rootmaster.doc.com. (末尾のドットあり)
-
dirs は更新するディレクトリオブジェクト (rootmaster で保管されたディレクトリオブジェクト)
nisupdkeys を実行する場合、関連したディレクトリオブジェクトのすべてを同時に更新するように注意します。すなわち、すべてを 1 つのコマンドで行います。分割して更新すると、認証エラーになります。
注 –
サーバーの鍵を変更するときは、常にドメイン内の全クライアントの鍵情報も更新する必要があります。その方法は 「クライアントの鍵情報を更新する」で説明します。
複製からルート複製の鍵を変更する手順
複製からルート複製の鍵を変更する手順を次に示します。
replica# nisaddcred des replica# nisupdkeys dirs |
引数の意味はそれぞれ以下のとおりです。
dirs は更新するディレクトリオブジェクト (replica で保管されたディレクトリオブジェクト)
nisupdkeys を実行する場合、関連したディレクトリオブジェクトのすべてを同時に更新するように注意します。すなわち、すべてを 1 つのコマンドで行います。分割して更新すると、認証エラーになります。
注 –
サーバーの鍵を変更するときは、常にドメイン内の全クライアントの鍵情報も更新する必要があります。その方法は 「クライアントの鍵情報を更新する」で説明します。
ルート以外のサーバーの鍵の変更手順
サーバーからルート以外のサーバー (マスターまたは複製) の鍵を変更する手順を以下に示します。
subreplica# nisaddcred des subreplica# nisupdkeys parentdir dirs |
引数の意味はそれぞれ以下のとおりです。
-
parentdir はルート以外のサーバーの親ディレクトリ (subreplica の NIS+ サーバーを持つディレクトリ)
-
dirs は更新しようとするディレクトリオブジェクト (subreplica で保管されたディレクトリオブジェクト)
nisupdkeys を実行する場合、関連したディレクトリオブジェクトのすべてを同時に更新するように注意します。すなわち、すべてを 1 つのコマンドで行います。分割して更新すると、認証エラーになります。
注 –
サーバーの鍵を変更するときは、常にドメイン内の全クライアントの鍵情報も更新する必要があります。その方法は、「クライアントの鍵情報を更新する」で説明します。
- © 2010, Oracle Corporation and/or its affiliates