直接的なレルム間認証を確立するには

この例では、ENG.EAST.ACME.COM と SALES.WEST.ACME.COM の 2 つのレルムを使用します。レルム間認証は両方向で行われます。この手順は、両方のレルムのマスター KDC 上で行います。

1. 直接的なレルム間認証を確立するための前提条件

   この手順では、各レルムのマスター KDC を構成しておく必要があります。プロセス全体を通してテストするには、いくつかのクライアントまたはスレーブ KDC をインストールする必要があります。

2. 最初のマスター KDC サーバー上でスーパーユーザーになります。

3. kadmin を使用して、2 つのレルムにチケット許可チケットのサービスプリンシパルを作成します。

   マスター KDC を構成するときに作成した admin プリンシパル名の 1 つでログインします。

   # /usr/krb5/sbin/kadmin -p kws/admin Enter password: <kws/admin のパスワードを入力する> kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM Enter password for principal krgtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM: <パスワードを入力する> kadmin: addprinc krbtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM Enter password for principal krgtgt/SALES.WEST.ACME.COM@ENG.EAST.ACME.COM: <パスワードを入力する> kadmin: quit

   ---

   注 -

   各サービスプリンシパルに入力するパスワードは両方の KDC で同じにします。つまり、krbtgt/ENG.EAST.ACME.COM@SALES.WEST.ACME.COM のパスワードを両方のレルムで同じにします。

   ---

4. リモートレルムの直接パスを定義するエントリを Kerberos 構成ファイル (kdc.conf) に追加します。

   この例は、ENG.EAST.ACME.COM レルム用です。SALES.WEST.ACME.COM レルムで適切な定義をするには、レルム名を入れ替えます。

   # cat /etc/krb5/krb5.conf [libdefaults] . . [capaths] ENG.EAST.ACME.COM = { SALES.WEST.ACME.COM = . } SALES.WEST.ACME.COM = { ENG.EAST.ACME.COM = . }

5. 現在のレルムのすべてのクライアントに Kerberos 構成ファイルをコピーします。

   レルム間認証を適切に動作させるには、すべてのシステム (スレーブ KDC などのサーバーを含む) に新しいバージョンの Kerberos 構成ファイル (krb5.conf) をインストールしておく必要があります。

6. 次のレルムでも上記手順を繰り返します。