KDC と SEAM クライアント間のクロックの同期

Kerberos 認証システムを使用しているすべてのホストは内部クロックを同期させ、指定した最大時間 (「クロックスキュー」と呼ぶ) の誤差に収まるようにします。同時に Kerberos のセキュリティをチェックすることにもなります。任意のホスト間でクロックスキューを超えた場合、クライアントの要求は拒否されます。

また、クロックスキューは、再実行された要求を認識および拒否するために、アプリケーションサーバーがすべての Kerberos プロトコルメッセージを追跡する時間も決定します。したがって、クロックスキュー値を大きくするほど、アプリケーションサーバーが収集する情報も多くなります。

最大クロックスキューのデフォルト値は 300 秒 (5 分) です。この値は、krb5.conf ファイルの libdefaults セクションで変更できます。

セキュリティ保護のため、クロックスキューには 300 秒より小さな値を指定してください。

KDC と SEAM クライアント間でクロックを同期させることは重要であるため、Network Time Protocol (NTP) ソフトウェアを使用することを推奨します。University of Delaware の Network Time Protorol (NTP) パブリックドメインソフトウェアは 2.6 リリース以降の Solaris リリースに入っています。

rdate コマンドと cron ジョブを使用してもクロックを同期させることができます。この方法では、NTP を使用するよりも処理が少なくなります。しかし、この節では NTP を使用する方法を中心に説明します。さらに、ネットワークでクロックを同期させる場合、クロック同期プロトコルもセキュリティが保護されている必要があります。

NTP を使用すると、ネットワーク環境で正確な時間とネットワーククロック同期を管理できます。NTP は基本的にサーバークライアント方式です。1 つのシステムをマスタークロックとして選択して (NTP サーバー)、他のすべてのシステムはマスタークロックと同期するように設定します (NTP クライアント)。これらの作業はすべて xntpd デーモンで実行できます。xntpd デーモンは、インターネット標準時間サーバーに従って、UNIX システムの時刻を設定および保守します。図 3-1 に、サーバークライアント方式の NTP を使用する例を示します。

図 3-1 NTP によるクロックの同期

KDC と SEAM クライアントが継続的にクロックを同期させるには、次の手順に従います。

1. NTP サーバーをネットワーク (マスター KDC 以外の任意のシステム) 上で設定します。詳細は、「NTP サーバーを設定するには」を参照してください。

2. ネットワーク上で構成した後、KDC と SEAM クライアントを NTP サーバーの NTP クライアントとして設定します。詳細は、「NTP クライアントを設定するには」を参照してください。

NTP サーバーを設定するには

1. NTP サーバーとなるシステム上でスーパーユーザーになります。

2. /etc/inet ディレクトリに移動します。

3. ntp.server ファイルを ntp.conf ファイルにコピーします。

   # cp ntp.server ntp.conf

4. /etc/init.d ディレクトリに移動します。

5. xntpd デーモンを起動します。

   # ./xntpd start

NTP クライアントを設定するには

1. NTP クライアントとなるシステム上でスーパーユーザーになります。

2. /etc/inet ディレクトリに移動します。

3. ntp.client ファイルを ntp.conf ファイルにコピーします。

   # cp ntp.client ntp.conf

4. /etc/init.d ディレクトリに移動します。

5. xntpd デーモンを起動します。

   # ./xntpd start