Sun Enterprise Authentication Mechanism 1.0.1 ガイド

SEAM クライアントの構成

SEAM クライアントとは、SEAM サービスを使用する必要があるネットワーク上の任意のホスト (KDC サーバーを除く) のことです。この節では、SEAM クライアントをインストールする手順と、root 認証を使用して NFS ファイルシステムをマウントする方法を説明します。

SEAM クライアントを構成するには

この手順では、次の構成パラメータを使用します。

レルム名 = ACME.COM

DNS ドメイン名 = acme.com

マスター KDC = kdc1.acme.com

スレーブ KDC = kdc2.acme.com

クライアント = client.acme.com

admin プリンシパル = kws/admin

ユーザープリンシパル = mre

オンラインヘルプの URL = http://denver/ab2/coll.384.1/SEAM/@AB2PageView/6956

SEAM クライアントを構成するための前提条件

SEAM クライアントソフトウェアがインストールされている必要があります。

Kerberos 構成ファイル (krb5.conf) を編集します。

事前構成手順を使用した場合、このファイルは編集する必要がありません。しかし、ファイルの内容は確認してください。SEAM のデフォルトからファイルを変更するには、レルム名とサーバーの名前を変更して、gkadmin のヘルプファイルへのパスを指定する必要があります。

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM
 
[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }
 
[domain_realm]
        .acme.com = ACME.COM
#
# ドメイン名とレルム名が同じ場合、このエントリは必要ない。
#
[logging]
        default = FILE:/var/krb5/kdc.log

        kdc = FILE:/var/krb5/kdc.log
 
[appdefaults]
        gkadmin = {
                help_url = //denver/ab2/coll.384.1/SEAM/@AB2PageView/6956

省略可能: NTP などのクロック同期機構を使用して、マスター KDC のクロックと同期させます。

NTP については、「KDC と SEAM クライアント間のクロックの同期」を参照してください。

省略可能: ユーザープリンシパルを作成します (すでに存在している場合は必要ありません)。

ユーザープリンシパルを作成する必要があるのは、このホストに関連するユーザーにプリンシパルを割り当てていない場合だけです。SEAM 管理ツールを使用する方法については、「新しいプリンシパルを作成するには」を参照してください。次に、コマンド行の例を示します。

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Enter password: <kws/admin のパスワードを入力する>
kadmin: addprinc mre
Enter password for principal mre@ACME.COM: <パスワードを入力する>
Re-enter password for principal mre@ACME.COM: <もう一度パスワードを入力する>
kadmin:

root プリンシパルを作成します。

kadmin: addprinc root/client1.acme.com
Enter password for principal root/client1.acme.com@ACME.COM: <パスワードを入力する>
Re-enter password for principal root/client1.acme.com@ACME.COM: <もう一度パスワードを入力する>
kadmin: quit

(省略可能) SEAM クライアントのユーザーが Kerberos 認証を使用して Kerberos 化された NFS ファイルシステムを自動的にマウントするようにしたい場合、root ユーザーを認証する必要があります。

このプロセスは、kinit コマンドを使用することで確実に実行されます。しかし、Kerberos で保護されたファイルシステムをマウントするたびに、ユーザーは root として kinit を使用しなければなりません。その代わりに、keytab ファイルを使用する方法もあります。keytab 要件についての詳細は、「NFS ファイルシステムをマウントするための root 認証の設定」を参照してください。

client1 # /usr/bin/kinit root/client1.acme.com
Password for root/client1.acme.com@ACME.COM: <パスワードを入力する>

keytab ファイルオプションを使用するには、kadmin を使用して、root プリンシパルをクライアントの keytab に追加します。

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Enter password: <kws/admin のパスワードを入力する>
kadmin: ktadd root/client1.acme.com
kadmin: Entry for principal root/client.acme.com with
  kvno 3, encryption type DES-CBC-CRC added to keytab
  WRFILE:/etc/krb5/krb5.keytab
kadmin: quit

クライアントが Kerberos チケットの有効期限が切れることをユーザーに警告するためには、/etc/krb5/warn.conf ファイルにエントリを作成します。

詳細は、warn.conf(4) のマニュアルページを参照してください。

ユーザーのシェル検索パスを修正して、SEAM のコマンドとマニュアルページの場所を指定します。

構成ファイルを使用して SEAM ソフトウェアをインストールし、PATH 定義を自動的に更新することを選択した場合、MANPATH 変数だけを変更する必要があります。C シェルを使用する場合、次のように入力します。
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
このような変更を永続的にシェル検索パスに適用するには、.cshrc または .login 起動ファイルを編集します。

Bourne シェルまたは Korn シェルを使用する場合、次のように入力します。
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
このような変更を永続的にシェル検索パスに適用するには、.profile 起動ファイルを編集します。

NFS ファイルシステムをマウントするための root 認証の設定

ユーザーが Kerberos 化されていない NFS ファイルシステムにアクセスしたい場合、NFS ファイルシステムには root としてマウントできます。あるいは、(root アクセス権がなくても) アクセスすれば、オートマウンタで自動的にアクセスできます。

Kerberos 化された NFS ファイルシステムをマウントする場合もほとんど同じです。しかし、若干の問題があります。Kerberos 化された NFS ファイルシステムをマウントするには、通常、クライアントの root プリンシパルはクライアントの keytab に存在していないため、ユーザーは root として kinit コマンドを使用し、クライアントの root プリンシパルの資格を取得する必要があります。これは、オートマウンタが設定されているときにも同様です。さらに、すべてのユーザーはシステムの root パスワードと root プリンシパルのパスワードを知っていなければなりません。

この手順を省略するには、クライアントの root プリンシパルをクライアントの keytab に追加します。そうすると、自動的に root の資格が提供されます。この方法でユーザーは kinit コマンドを実行せずに NFS ファイルシステムをマウントでき、利用しやすくなりますが、セキュリティが侵害される可能性があります。たとえば、keytab に root プリンシパルを持つシステムへのアクセス権を誰かが取得した場合、そのユーザーは root の資格も取得できます。したがって、セキュリティ保護のための予防措置が必要となります。詳細は、「keytab の管理」を参照してください。