KDC と SEAM クライアントのクロックの同期化

Kerberos 認証システムを利用するホストはすべて、それぞれの内部クロックが、指定された時間の範囲 (「クロックスキュー」) 内で相互に同期していなければなりません。クロックスキューは、もう 1 つの Kerberos セキュリティチェックとして使用されます。参加するホストの同期差がクロックスキューを超えていると、クライアント要求は拒否されます。

アプリケーションサーバーが再実行要求を認識し拒否する目的で、すべての Kerberos プロトコルメッセージをどのくらいの間追跡管理しなければならないかも、クロックスキューで決まります。そのため、クロックスキュー値が長いほど、アプリケーションサーバーはそれだけ多くの情報を収集しなければなりません。

最大クロックスキューのデフォルト値は 300 秒 (5 分) です。この値は、krb5.conf ファイルの libdefaults セクションで変更できます。

セキュリティ上の理由から、クロックスキュー値は 300 秒より大きくしないでください。

KDC と SEAM クライアントの間でクロックの同期を維持することは重要であるため同期の維持に Network Time Protocole (NTP) を使用することをお奨めします。University of Delaware が作成した NTP パブリックドメインソフトウェアが Solaris 2.6 以降の Solaris ソフトウェアに含まれています。

クロックを同期化するもう 1 つの方法では、cron ジョブで rdate コマンドを使用します。この方が NTP を使用するよりも簡単ですが、ここでは NTP を中心に説明します。ネットワークを使用してクロックを同期化する場合は、クロック同期化プロトコル自体も安全でなければなりません。

NTP を使用すると、正確な時間とネットワーククロック同期をネットワーク環境で管理できます。NTP は基本的にはクライアントサーバー実装の状態をとります。1 つのシステムをマスタークロック (NTP サーバー) として選択し、他のすべてのシステムをマスタークロックと同期するクライアントとして設定します (NTP クライアント)。同期化は xntpd デーモンによって行われます。このデーモンは、UNIX システムの時刻をインターネット標準時刻サーバーに合わせて設定および保守します。NTP のクライアントサーバー実装の例を図 22-1 で示します。

図 22-1 NTP を使用したクロック同期

KDC と SEAM クライアントでクロックの同期を維持するためには、次の手順が必要です。

1. ネットワークに NTP サーバーを設定します。(NTP サーバーは、マスター KDC 以外であればどのシステムでもかまいません。) 「NTP サーバーを設定する方法」を参照してください。

2. ネットワークの KDC と SEAM クライアントを構成するときに、それらを NTP サーバーの NTP クライアントとして設定します。「NTP クライアントを設定する方法」を参照してください。