SEAM ファイル
表 7-1 SEAM ファイル|
ファイル名 |
説明 |
|---|---|
|
‾/.gkadmin |
SEAM 管理ツールで新しいプリンシパルを作成するときのデフォルト値 |
|
‾/.k5login |
Kerberos アカウントにアクセス権を許可するプリンシパルのリスト |
|
/etc/gss/gsscred.conf |
gsscred テーブルのデフォルトのファイル形式 |
|
/etc/gss/mech |
RPCSEC_GSS の機構 |
|
/etc/gss/qop |
RPCSEC_GSS の保護特性パラメータ |
|
/etc/init.d/kdc |
krb5kdc を起動または停止する init スクリプト |
|
/etc/init.d/kdc.master |
kadmind を起動または停止する init スクリプト |
|
/etc/krb5/kadm5.acl |
Kerberos アクセス制御リストファイル。KDC 管理者のプリンシパル名とその Kerberos 管理特権が含まれている |
|
/etc/krb5/kadm5.keytab |
マスター KDC 上にある kadmin サービスの keytab |
|
/etc/krb5/kdc.conf |
KDC 構成ファイル |
|
/etc/krb5/kpropd.acl |
Kerberos データベース伝達構成ファイル |
|
/etc/krb5/krb5.conf |
Kerberos レルム構成ファイル |
|
/etc/krb5/krb5.keytab |
ネットワークアプリケーションサーバーの keytab |
|
/etc/krb5/warn.conf |
Kerberos 警告構成ファイル |
|
/etc/pam.conf |
PAM 構成ファイル |
|
/tmp/krb5cc_uid |
デフォルトの資格キャッシュ (uid はユーザーの 10 進数の ユーザー ID) |
|
/tmp/ovsec_adm.xxxxxx |
パスワード変更操作の有効期間における一時資格キャッシュ (xxxxxx はランダムな文字列) |
|
/var/krb5/.k5.REALM |
KDC stash ファイル。KDC マスター鍵の暗号化されたコピーが含まれている |
|
/var/krb5/kadmin.log |
kadmind のログファイル |
|
/var/krb5/kdc.log |
KDC のログファイル |
|
/var/krb5/principal.db |
Kerberos プリンシパルデータベース |
|
/var/krb5/principal.kadm5 |
Kerberos 管理データベース。ポリシー情報が含まれている |
|
/var/krb5/principal.kadm5.lock |
Kerberos 管理データベースロックファイル |
|
/var/krb5/principal.ok |
Kerberos プリンシパルデータベース初期化ファイル。Kerberos データベースの初期化が成功したときに作成される |
|
/var/krb5/slave_datatrans |
kprop_script が伝達用に使用する KDC のバックアップファイル |
PAM 構成ファイル
SEAM に付属するデフォルトの PAM 構成ファイルには、新しい Kerberos 化されたアプリケーションを処理するためのエントリが含まれています。新しいファイルには、認証サービス、アカウント管理、セッション管理、およびパスワード管理のモジュール用のエントリが含まれています。
認証モジュールの場合は、rlogin、login、dtlogin、krlogin、ktelnet、および krsh 用の新しいエントリです。次に、これらのエントリの例を示します。これらのサービスはすべて新しい PAM ライブラリ /usr/lib/security/pam_krb5.so.1 を使用して、Kerberos 認証を提供します。
最初の 3 つのエントリは try_first_pass オプションを使用して、ユーザーの初期パスワードによる認証を要求します。初期パスワードを使用することは、複数の機構がリストに指定されている場合でも、ユーザーは別のパスワードを入力する必要がないということです。
次の 3 つのエントリは -acceptor オプションを使用して、PAM モジュールが初期チケット許可チケットを取得する手順を実行しないようにします。Kerberos 化されたサーバーアプリケーションの場合、この手順はすでにアプリケーションによって実行されているため、この手順を PAM で行う必要はありません。また、other エントリはデフォルトのエントリで、特に指定されていないが認証が必要であるすべてのエントリ用です。
# cat /etc/pam.conf . . rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass krlogin auth required /usr/lib/security/pam_krb5.so.1 acceptor ktelnet auth required /usr/lib/security/pam_krb5.so.1 acceptor krsh auth required /usr/lib/security/pam_krb5.so.1 acceptor other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
アカウント管理の場合、dtlogin は Kerberos ライブラリを使用する新しいエントリを持っています (次を参照)。other エントリはデフォルトの規則を提供します。現在のところ、other エントリは何もしません。
dtlogin account optional /usr/lib/security/pam_krb5.so.1 other account optional /usr/lib/security/pam_krb5.so.1 |
次に、/etc/pam.conf ファイルの最後の 2 つのエントリを示します。セッション管理用の other エントリはユーザー資格を削除します。パスワード管理用の新しい other エントリは Kerberos ライブラリを選択します。
other session optional /usr/lib/security/pam_krb5.so.1 other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass |
- © 2010, Oracle Corporation and/or its affiliates