Sun Enterprise Authentication Mechanism 1.0.1 ガイド

スレーブ KDC を構成するには

この手順では、kdc3 という新しいスレーブ KDC を構成します。ソフトウェアをインストールするときに事前構成手順を使用していない、あるいは、事前構成手順を行うときに kdc3 をスレーブとして定義していない場合の手順を説明します。事前構成手順を行うときに kdc3 をスレーブとして定義した場合、この手順に含まれる多くのファイルは編集する必要がありません。しかし、ファイルの内容は確認してください。

この手順では、次の構成パラメータを使用します。

レルム名 = ACME.COM
DNS ドメイン名 = acme.com
マスター KDC = kdc1.acme.com
スレーブ KDC = kdc2.acme.com と kdc3.acme.com
admin プリンシパル = kws/admin
オンラインヘルプの URL = http://denver/ab2/coll.384.1/SEAM/@AB2PageView/6956

スレーブ KDC を構成するための前提条件

この手順では、マスター KDC を構成していて、SEAM のスレーブ KDC ソフトウェアを kdc3 にインストールしている必要があります。スレーブ KDC を切り替え可能にする方法については、「マスター KDC とスレーブ KDC の切り替え」を参照してください。

マスター KDC 上でスーパーユーザーになります。

マスター KDC 上で kadmin を起動します。

マスター KDC を構成するときに作成した admin プリンシパル名の 1 つでログインする必要があります。

kdc1 # /usr/krb5/sbin/kadmin -p kws/admin
Enter password: <kws/admin のパスワードを入力する>
kadmin:

マスター KDC 上で kadmin を使用して、スレーブ KDC の host プリンシパルをデータベースに追加します。

正常に機能するには、スレーブは host プリンシパルを持つ必要があります。
kadmin: addprinc -randkey host/kdc3.acme.com Principal "host/kdc3@ACME.COM" created. kadmin:

省略可能: マスター KDC 上で kadmin を使用して、スレーブ KDC の root プリンシパルを作成します。

このプリンシパルは、認証されたファイルシステムをスレーブが NFS マウントする場合だけに必要です。

kadmin: addprinc root/kdc3.acme.com
Enter password for principal root/kdc3.acme.com@ACME.COM: <パスワードを入力する>
Re-enter password for principal root/kdc3.acme.com@ACME.COM: <パスワードをもう一度入力する>
Principal "root/kdc3.acme.com@ACME.COM" created.
kadmin:

kadmin を終了します。
kadmin: quit

マスター KDC 上で Kerberos 構成ファイル (krb5.conf) を編集します。

各スレーブのエントリを追加する必要があります。このファイルの説明については、krb5.conf(4) のマニュアルページを参照してください。事前構成手順を実行するときに kdc3 をスレーブサーバーとして定義した場合、ファイルの内容を編集せず、確認だけしてください。

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = ACME.COM
 
[realms]
                ACME.COM = {
                kdc = kdc1.acme.com
                kdc = kdc2.acme.com
                kdc = kdc3.acme.com
                admin_server = kdc1.acme.com
        }
 
[domain_realm]
        .acme.com = ACME.COM
#
# ドメイン名とレルム名が同じ場合、このエントリは必要ない。
#        

[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log
 
[appdefaults]
        gkadmin = {
                help_url = //denver/ab2/coll.384.1/SEAM/@AB2PageView/6956

マスター KDC 上で各スレーブ KDC のエントリをデータベース伝達構成ファイル (kpropd.acl) に追加します。

このファイルの説明については、kprop(1M) のマニュアルページを参照してください。事前構成手順を行うときに kdc3 をスレーブサーバーとして定義した場合、ファイルの内容を編集せず、確認だけしてください。
kdc1 # cat /etc/krb5/kpropd.acl host/kdc1.acme.com@ACME.COM host/kdc2.acme.com@ACME.COM host/kdc3.acme.com@ACME.COM

すべてのスレーブ上でマスター KDC サーバーから KDC 管理ファイルをコピーします。

マスター KDC サーバーは各 KDC サーバーが必要とする情報を更新しているため、この手順はすべてのスレーブ KDC 上で行うことが必要です。事前構成手順を行うときに kdc3 をスレーブサーバーとして定義した場合、ファイルの内容を編集せず、確認だけしてください。ftp などの転送機構を使用すると、マスターから次のファイルのコピーを取得できます。
- /etc/krb5/krb5.conf
- /etc/krb5/kdc.conf
- /etc/krb5/kpropd.acl

新しいスレーブ上で kadmin を使用して、スレーブの host プリンシパルをスレーブの keytab ファイルに追加します。

マスター KDC を構成するときに作成した admin プリンシパル名の 1 つでログインする必要があります。このエントリによって、kprop などの Kerberos 化されたアプリケーションが機能するようになります。

kdc3 # /usr/krb5/sbin/kadmin -p kws/admin
Enter password: <kws/admin のパスワードを入力する>
kadmin: ktadd host/kdc3.acme.com
kadmin: Entry for principal host/kdc3.acme.com with
  kvno 3, encryption type DES-CBC-CRC added to keytab
  WRFILE:/etc/krb5/krb5.keytab
kadmin: quit

マスター KDC 上でスレーブ KDC 名を cron ジョブに追加します。そして、crontab -e を実行すると、バックアップが自動的に実行されます。

各スレーブ KDC サーバーの名前を kprop_script 行の終わりに追加します。事前構成手順を行うときに kdc3 をスレーブサーバーとして定義した場合、ファイルの内容を編集せず、確認だけしてください。
10 3 * * * /usr/krb5/lib/kprop_script kdc2.acme.com kdc3.acme.com
バックアップの時間を変更したい場合もあります。この構成では、バックアッププロセスは毎日の午前 3 時 10 分に起動されます。

マスター KDC 上で kprop_script を使用して、データベースをバックアップおよび伝達します。

データベースのバックアップコピーがすでに利用可能な場合、別のバックアップをする必要はありません。詳細手順については、「手動で Kerberos データベースをスレーブ KDC に伝達するには」を参照してください。
kdc1 # /usr/krb5/lib/kprop_script kdc3.acme.com Database propagation to kdc3.acme.com: SUCCEEDED

新しいスレーブ上で kdb5_util を使用して、stash ファイルを作成します。

kdc3 # /usr/krb5/sbin/kdb5_util stash
kdb5_util: Cannot find/read stored master key while reading master key
kdb5_util: Warning: proceeding without master key
 
Enter KDC database master key: <鍵を入力する>

新しいスレーブ上で KDC デーモン (krb5kdc) を起動します。
kdc3 # /etc/init.d/kdc start

省略可能: 新しいスレーブ上で NTP などのクロック同期機構を使用して、マスター KDC のクロックと同期させます。

NTP をインストールおよび使用することは必須ではありません。しかし、認証が成功するには、すべてのクロックが krb5.conf ファイルの libdefaults セクションで定義されたデフォルトの時間内に収まっている必要があります。NTP については、「KDC と SEAM クライアント間のクロックの同期」を参照してください。