パスワードの変更
Kerberos パスワードを変更する方法は 2 つあります。
-
通常の UNIX の passwd コマンドを使用する方法
SEAM をインストールすると、Solaris の passwd コマンドは自動的に新しい Kerberos パスワードも入力するようにメッセージが表示されます。
kpasswd ではなく passwd を使用する利点は、両方 (UNIX と Kerberos) のパスワードを同時に設定できることです。しかし、passwd を使用しても、両方のパスワードを変更する必要はありません。ほとんどの場合、UNIX パスワードだけを変更して、Kerberos パスワードはそのままにしたり、あるいはその逆にします。
注 -passwd の動作は、PAM モジュールの構成によって異なります。構成によっては、両方のパスワードを変更するように要求されることもあります。サイトによっては、UNIX パスワードを変更しなければならないことも、Kerberos パスワードを変更しなければならないこともあります。
-
kpasswd コマンドを使用する方法
kpasswd は passwd と非常に似ています。両者の違いとして、kpasswd は Kerberos パスワードだけを変更します。UNIX パスワードを変更する場合は、passwd を使用します。
もう 1 つの違いとして、kpasswd は UNIX ユーザーには無効な Kerberos プリンシパルのパスワードを変更できます。たとえば、david/admin は Kerberos プリンシパルですが、実際の UNIX ユーザーではない場合、passwd ではなく kpasswd を使用します。
パスワードを変更した後、システム全体に変化を伝達するには多少の時間がかかります (特に、大きなネットワークでは)。システムの構成によって、数分から数時間にまで及ぶこともあります。パスワードの変更後、すぐに新しい Kerberos チケットを取得する必要がある場合は、まず、新しいパスワードを試してみます。新しいパスワードが動作しない場合は、古いパスワードでもう一度試してみます。
Kerberos V5 を使用すると、システム管理者はユーザーごとに許可できるパスワードについての基準を設定できます。このような基準を定義するには、ユーザーごとにポリシーを設定します。あるいは、デフォルトのポリシーを使用します。ポリシーについての詳細は、「ポリシーの管理」を参照してください。たとえば、jennifer のポリシー (jenpol と呼ぶ) では、パスワードが少なくとも 8 文字あり、少なくとも 2 種類の文字を混在させることが必要であるとします。したがって、「sloth」というパスワードを使用しようとすると、kpasswd はこれを拒否します。
% kpasswd kpasswd: Changing password for jennifer@ENG.ACME.COM. Old password: <jennifer は自分の既存のパスワードを入力する> kpasswd: jennifer@ENG.ACME.COM's password is controlled by the policy jenpol which requires a minimum of 8 characters from at least 2 classes (the five classes are lowercase, uppercase, numbers, punctuation, and all other characters). New password: <jennifer は「sloth」と入力する> New password (again): <jennifer はもう 1 度「sloth」と入力する> kpasswd: New password is too short. Please choose a password which is at least 4 characters long. |
次に、jennifer は「slothrop49」というパスワードを使用します。「slothrop49」は 8 文字以上あり、2 種類の文字 (数字と小文字) を使用しているため、基準に適合します。
% kpasswd kpasswd: Changing password for jennifer@ENG.ACME.COM. Old password: <jennifer は自分の既存のパスワードを入力する> kpasswd: jennifer@ENG.ACME.COM's password is controlled by the policy jenpol which requires a minimum of 8 characters from at least 2 classes (the five classes are lowercase, uppercase, numbers, punctuation, and all other characters). New password: <jennifer は「slothrop49」と入力する> New password (again): <jennifer はもう一度「slothrop49」と入力する> Kerberos password changed. |
例 - パスワードを変更する
次の例では、david が passwd で自分の UNIX と Kerberos の両方のパスワードを変更しています。
% passwd passwd: Changing password for david Enter login (NIS+) password: <現在の UNIX パスワードを入力する> New password: <新しい UNIX パスワードを入力する> Re-enter password: <新しい UNIX パスワードを確認する> Old KRB5 password: <現在の Kerberos パスワードを入力する> New KRB5 password: <新しい Kerberos パスワードを入力する> Re-enter new KRB5 password: <新しい Kerberos パスワードを確認する> |
上記の例では、passwd が UNIX と Kerberos の両方のパスワードの入力を求めています。しかし、PAM モジュールで try_first_pass が設定されている場合、Kerberos パスワードは自動的に UNIX パスワードと同じに設定されます。これはデフォルトの構成です。このような構成では、david が自分の Kerberos パスワードを別に設定したい場合、次のように kpasswd を使用する必要があります。
次の例では、david が kpasswd で自分の Kerberos パスワードだけを変更しています。
% kpasswd kpasswd: Changing password for david@ENG.ACME.COM. Old password: <現在の Kerberos パスワードを入力する> New password: <新しい Kerberos パスワードを入力する> New password (again): <新しい Kerberos パスワードを確認する> Kerberos password changed. |
次の例では、david が Kerberos プリンシパル david/admin (有効な UNIX ユーザーでない) 用のパスワードを変更しています。これを行うには、kpasswd を使用します。
% kpasswd david/admin kpasswd: Changing password for david/admin. Old password: <現在の Kerberos パスワードを入力する> New password: <新しい Kerberos パスワードを入力する> New password (again): <新しい Kerberos パスワードを確認する> Kerberos password changed. |
- © 2010, Oracle Corporation and/or its affiliates