Kerberos 化されたコマンドの概要
Kerberos 化されたネットワークサービスとは、インターネット上の別のマシンに接続するプログラムのことです。これらのプログラムは /usr/krb5/bin にあります。このパスが Kerberos 化されていないバージョンよりも先に来るように PATH 変数を設定してください。次に、Kerberos 化されたコマンドを示します。
-
ftp
-
rcp
-
rlogin
-
rsh
-
telnet
これらのプログラムは、対応する Kerberos 化されていないコマンドの元の機能をすべて持っています。また、認証 (および、オプションで暗号化) をリモートホストとネゴシエーションするための Kerberos チケットに使用する機能も持っています。ほとんどの場合、Kerberos がユーザーの代わりにユーザーの識別情報を立証するため、Kerberos 化されたコマンドを実行するときにパスワードを入力する必要はありません。
Kerberos V5 ネットワークプログラムを使用すると、次のようなオプションも実行できます。
-
別のホストへのチケットの転送 (初めに転送可能チケットを取得していた場合)
-
ユーザーとリモートホスト間で転送されるデータの暗号化
注 -
この節では、ユーザーがすでにこれらのコマンドの Kerberos 化されていないバージョンに関する知識があると仮定し、Kerberos V5 パッケージで追加された Kerberos 機能だけに注目します。ここで説明されているコマンドについての詳細は、それぞれのマニュアルページを参照してください。
次に、ftp、rcp、rlogin、rsh、および telnet に追加された Kerberos オプションを示します。
- -a
-
ユーザーの既存のチケットを使用して自動ログインしようとする。getlogin() で戻されるユーザー名が現在のユーザー ID と同じ場合に限り、このユーザー名を使用する。詳細は、telnet(1) のマニュアルページを参照
- -f
-
再転送可能でないチケットをリモートホストに転送する。このオプションは -F (下記を参照) と相互に排他的である。つまり、同じコマンド内では一緒に使用できない
チケットを転送したい場合とは、3 番目のホスト上にある他の Kerberos ベースのサービスにユーザー自身を認証させる必要がある場合、たとえば、別のマシンに rlogin を実行して、そのマシンからさらに別の (3 番目の) マシンに rlogin を実行する場合など
リモートホスト上にあるユーザーのホームディレクトリが Kerberos V5 で NFS マウントされている場合、明示的に転送可能チケットを使用しなければならない。そうしなければ、ユーザーのホームディレクトリにアクセスできない。たとえば、最初に System 1 にログインし、次に System 1 からユーザーのホームマシン System 2 に rlogin を実行すると仮定する。このとき、System 2 は System 3 上にあるユーザーのホームディレクトリをマウントしていると仮定する。この場合、rlogin に -f または -F のオプションを使用しなければ、System 3 にチケットを転送できないため、ユーザーのホームディレクトリにアクセスできない
デフォルトでは、kinit は転送可能チケット許可チケット (TGT) を取得する。しかし、この設定は SEAM 構成で変更できる
チケットの転送についての詳細は、「-f と -F によるチケットの転送」を参照
- -F
-
ユーザーのチケット許可チケットの再転送可能なコピーをリモートシステムに転送する。-f (上記を参照) と似ているが、-f よりもさらに別の (4 番目または 5 番目の) マシンにアクセスできる。したがって、-F オプションは -f オプションのスーパーセットと考えられる。-F オプションは -f オプションと相互に排他的である。つまり、同じコマンド内では一緒に使用できない
チケットの転送についての詳細は、「-f と -F によるチケットの転送」を参照
- -k realm
-
krb5.conf ファイルでレルム自身を決定するのではなく、指定した realm 内にあるリモートホストのチケットを要求する。
- -K
-
ユーザーのチケットをリモートホストに認証させるが、自動的にはログインしない
- -m mechanism
-
使用する GSS-API セキュリティ機構を指定する (/etc/gss/mech ファイルに列挙されている)。デフォルトは kerberos_v5
- -x
-
このセッションを暗号化する
- -X auth_type
-
認証の auth_type タイプを無効にする
表 6-1 に、Kerberos 化された各コマンドが持つオプションを示します。X は、そのコマンドがそのオプションを持つことを示します。
表 6-1 Kネットワークコマンドの Kerberos オプション|
|
ftp |
rcp |
rlogin |
rsh |
telnet |
|---|---|---|---|---|---|
|
-a |
|
|
|
|
X |
|
-f |
X |
|
X |
X |
X |
|
-F |
|
|
X |
X |
X |
|
-k |
|
X |
X |
X |
X |
|
-K |
|
|
|
|
X |
|
-m |
X |
|
|
|
|
|
-x |
|
X |
X |
X |
X |
|
-X |
|
|
|
|
X |
さらに、ftp はセッションに保護レベルをプロンプトで設定できます。
- clear
-
保護レベルを「clear」(保護なし) に設定 (デフォルト)
- private
-
保護レベルを「private」に設定する。データ転送の機密性と完全性は暗号化によって保護される。しかし、プライバシサービスは一部の SEAM ユーザーしか利用できない
- safe
-
保護レベルを「safe」に設定する。データ転送の完全性は暗号化チェックサムによって保護される
また、ftp のプロンプトでも保護レベルを設定できます。つまり、protect と入力して、その後に上記の保護レベル (clear、private、または safe) を入力します。
- © 2010, Oracle Corporation and/or its affiliates