自分のアカウントへのアクセス権を許可する

自分のユーザー名で他のユーザーにログインを許可する必要がある場合、Kerberos を使用すれば、パスワードを教える必要はありません。つまり、.k5login ファイルを自分のホームディレクトリに置きます。.k5login ファイルは、アクセス権を許可するユーザーに対応する 1 つまたは複数の Kerberos プリンシパルのリストです。1 行に 1 つのプリンシパルを指定します。

ユーザー david が次のような .k5login ファイルを自分のホームディレクトリに置いていると仮定します。

jennifer@ENG.ACME.COM
joe@ACME.ORG  

このファイルによって、ユーザー jennifer と joe は david の識別情報を利用できます。ただし、彼らがすでに Kerberos チケットを各自のレルムに持っていることを条件とします。たとえば、jennifer は、david のパスワードを指定せずに、david のマシン (boston) に david として rlogin を実行できます。

図 6-1 .k5login ファイルの使い方

david のホームディレクトリが別の (3 番目の) マシンから Kerberos V5 プロトコルで NFS マウントされている場合、jennifer は david のホームディレクトリにアクセスするためには転送可能チケットが必要です。転送可能チケットの使い方の例については、「チケットを作成するには」を参照してください。

ネットワークを通じて他のマシンにログインする場合、(ログインしたい) 各マシン上の .k5login ファイルに自分独自の Kerberos プリンシパルを入れておくこともできます。

.k5login ファイルを使用する方法は、パスワードを公表するよりもセキュリティ上安全です。

• アクセスを禁止するには、.k5login ファイルからプリンシパルを削除するだけです。

• ユーザー本人のホームディレクトリにある .k5login ファイルに指定された他のユーザーは、そのマシン (あるいは、NFS などで .k5login ファイルを共有している場合は、複数のマシン) 上でユーザー本人のアカウントへの完全なアクセス権を許可されますが、ネットワーク特権は継承しません。つまり、Kerberos 化されたサービスは、ユーザー本人ではなく、.k5login ファイルに指定された他のユーザーの識別情報によりアクセス権を認証します。したがって、jennifer は joe のマシンにログインしてさまざまな作業を行うことができますが、Kerberos 化されたプログラム (ftp や rlogin など) を使用するときは、jennifer 自身として行います。

• Kerberos はチケットを取得する人のログを記録します。したがって、システム管理者は、必要であれば、ユーザー本人のユーザー識別情報を特定の時間に使用できる他のユーザーを調べることができます。

.k5login ファイルの最も一般的な使い方では、.k5login ファイルを root のホームディレクトリに置くことによって、そのマシンへの root アクセス権を .k5login ファイルに指定された Kerberos プリンシパルに許可します。これによって、システム管理者は root のパスワードを指定しなくても (すなわち、ネットワークに root パスワードを入力しなくても)、ローカルで root になる (つまり、リモートから root としてログインする) ことができます。

例 - .k5login ファイルを使用する

jennifer がマシン boston.acme.com に root としてログインすると仮定します。boston.acme.com 上の root のホームディレクトリにある .k5login ファイルには jennifer のエントリがあるため、jennifer はもう一度自分のパスワードを入力する必要がありません。

% rlogin boston.acme.com -l root -x
This rlogin session is using DES encryption for all data transmissions.  
Last login: Thu Jun 20 16:20:50 from daffodil  
SunOS Release 5.7 (GENERIC) #2: Tue Nov 14 18:09:31 EST 1998  
boston[root]%