SEAM クライアントは、SEAM サービスを使用する同じネットワーク上のすべてのホスト (KDC サーバーを除く) です。この節では、SEAM クライアントのインストール手順と、root 認証を使用して NFS ファイルシステムをマウントするための特定の方法を説明します。
SEAM クライアントを構成する手順は 2 つあります。「SEAM クライアントの構成を完成する方法」は、システムのインストール中に部分的に設定された SEAM クライアントを構成する情報です。「SEAM クライアントを構成する方法」は、Solaris 8 リリースのインストールで SEAM の構成を全く行わなかった場合の SEAM クライアントの構成手順です。
次の構成パラメータが使用されます。
レルム名 = ACME.COM
DNS ドメイン名 = acme.com
マスター KDC = kdc1.acme.com
スレーブ KDC = kdc2.acme.com
クライアント = client.acme.com
admin プリンシパル = kws/admin
ユーザープリンシパル = mre
SEAM クライアントを構成するための前提条件
admin サーバーの KDC がすでに構成され、動作していなければなりません。さらに、DNS がインストールされ、/etc/resolv.conf ファイルが正しく構成されている必要があります。
クライアント上でスーパーユーザーになります。
PAM 構成ファイル (pam.conf) を編集します。
最後の 8 行からコメント記号を削除して Kerberos PAM モジュールを有効にします。
client1 # tail -11 /etc/pam.conf # # Support for Kerberos V5 authentication (uncomment to use Kerberos) # rlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass login auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass dtlogin auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass other auth optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass dtlogin account optional /usr/lib/security/$ISA/pam_krb5.so.1 other account optional /usr/lib/security/$ISA/pam_krb5.so.1 other session optional /usr/lib/security/$ISA/pam_krb5.so.1 other password optional /usr/lib/security/$ISA/pam_krb5.so.1 try_first_pass |
NFS セキュリティサービス構成ファイル (nfssec.conf) を編集します。
Kerberos サービスを記述する行からコメント記号を削除します。
client1 # cat /etc/nfssec.conf . . # # Uncomment the following lines to use Kerberos V5 with NFS # krb5 390003 kerberos_v5 default - # RPCSEC_GSS krb5i 390004 kerberos_v5 default integrity # RPCSEC_GSS default 1 - - - # default is AUTH_SYS |
Kerberos 構成ファイル (krb5.conf) を編集します。
デフォルトのファイルを変更する場合は、レルム名とサーバー名を変更する必要があります。
client1 # cat /etc/krb5/krb5.conf [libdefaults] default_realm = ACME.COM [realms] ACME.COM = { kdc = kdc1.acme.com kdc = kdc2.acme.com admin_server = kdc1.acme.com } [domain_realm] .acme.com = ACME.COM |
(省略可能) NTP または別のクロック同期化機構を使用して、マスター KDC のクロックと同期させます。
NTP については、「KDC と SEAM クライアントのクロックの同期化」を参照してください。
新しいプリンシパルを追加します。
KDC とともに提供される管理ツールを使用して、クライアントに対して新しいプリンシパルを追加します。
クライアントから Kerberos チケットの期限切れをユーザーに警告する場合は、/etc/krb5/warn.conf ファイルのエントリを構成します。
詳細は、warn.conf(4) のマニュアルページを参照してください。
クライアントをインストールするときに部分的にインストールされた SEAM クライアントを構成する場合は、「SEAM クライアントを構成する方法」の手順に従ってください。ただし、インストールはすでに開始されているため、pam.conf、nfssec.con、krb5.conf を編集しないでその内容を確認してください。