Sun Enterprise Authentication Mechanism 1.0.1 ガイド

SEAM クライアントを構成するには

この手順では、次の構成パラメータを使用します。

レルム名 = ACME.COM

DNS ドメイン名 = acme.com

マスター KDC = kdc1.acme.com

スレーブ KDC = kdc2.acme.com

クライアント = client.acme.com

admin プリンシパル = kws/admin

ユーザープリンシパル = mre

オンラインヘルプの URL = http://denver/ab2/coll.384.1/SEAM/@AB2PageView/6956

SEAM クライアントを構成するための前提条件

SEAM クライアントソフトウェアがインストールされている必要があります。

Kerberos 構成ファイル (krb5.conf) を編集します。

事前構成手順を使用した場合、このファイルは編集する必要がありません。しかし、ファイルの内容は確認してください。SEAM のデフォルトからファイルを変更するには、レルム名とサーバーの名前を変更して、gkadmin のヘルプファイルへのパスを指定する必要があります。

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM
 
[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                admin_server = kdc1.acme.com
        }
 
[domain_realm]
        .acme.com = ACME.COM
#
# ドメイン名とレルム名が同じ場合、このエントリは必要ない。
#
[logging]
        default = FILE:/var/krb5/kdc.log

        kdc = FILE:/var/krb5/kdc.log
 
[appdefaults]
        gkadmin = {
                help_url = //denver/ab2/coll.384.1/SEAM/@AB2PageView/6956

省略可能: NTP などのクロック同期機構を使用して、マスター KDC のクロックと同期させます。

NTP については、「KDC と SEAM クライアント間のクロックの同期」を参照してください。

省略可能: ユーザープリンシパルを作成します (すでに存在している場合は必要ありません)。

ユーザープリンシパルを作成する必要があるのは、このホストに関連するユーザーにプリンシパルを割り当てていない場合だけです。SEAM 管理ツールを使用する方法については、「新しいプリンシパルを作成するには」を参照してください。次に、コマンド行の例を示します。

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Enter password: <kws/admin のパスワードを入力する>
kadmin: addprinc mre
Enter password for principal mre@ACME.COM: <パスワードを入力する>
Re-enter password for principal mre@ACME.COM: <もう一度パスワードを入力する>
kadmin:

root プリンシパルを作成します。

kadmin: addprinc root/client1.acme.com
Enter password for principal root/client1.acme.com@ACME.COM: <パスワードを入力する>
Re-enter password for principal root/client1.acme.com@ACME.COM: <もう一度パスワードを入力する>
kadmin: quit

(省略可能) SEAM クライアントのユーザーが Kerberos 認証を使用して Kerberos 化された NFS ファイルシステムを自動的にマウントするようにしたい場合、root ユーザーを認証する必要があります。

このプロセスは、kinit コマンドを使用することで確実に実行されます。しかし、Kerberos で保護されたファイルシステムをマウントするたびに、ユーザーは root として kinit を使用しなければなりません。その代わりに、keytab ファイルを使用する方法もあります。keytab 要件についての詳細は、「NFS ファイルシステムをマウントするための root 認証の設定」を参照してください。

client1 # /usr/bin/kinit root/client1.acme.com
Password for root/client1.acme.com@ACME.COM: <パスワードを入力する>

keytab ファイルオプションを使用するには、kadmin を使用して、root プリンシパルをクライアントの keytab に追加します。

client1 # /usr/krb5/sbin/kadmin -p kws/admin
Enter password: <kws/admin のパスワードを入力する>
kadmin: ktadd root/client1.acme.com
kadmin: Entry for principal root/client.acme.com with
  kvno 3, encryption type DES-CBC-CRC added to keytab
  WRFILE:/etc/krb5/krb5.keytab
kadmin: quit

クライアントが Kerberos チケットの有効期限が切れることをユーザーに警告するためには、/etc/krb5/warn.conf ファイルにエントリを作成します。

詳細は、warn.conf(4) のマニュアルページを参照してください。

ユーザーのシェル検索パスを修正して、SEAM のコマンドとマニュアルページの場所を指定します。

構成ファイルを使用して SEAM ソフトウェアをインストールし、PATH 定義を自動的に更新することを選択した場合、MANPATH 変数だけを変更する必要があります。C シェルを使用する場合、次のように入力します。
% set path=(/usr/krb5/bin $path) % set MANPATH=(/usr/krb5/man $MANPATH)
このような変更を永続的にシェル検索パスに適用するには、.cshrc または .login 起動ファイルを編集します。

Bourne シェルまたは Korn シェルを使用する場合、次のように入力します。
$ PATH=/usr/krb5/bin:$PATH $ MANPATH=/usr/krb5/man:$MANPATH
このような変更を永続的にシェル検索パスに適用するには、.profile 起動ファイルを編集します。