階層的なレルム間の認証を確立するには

この例では、ENG.EAST.ACME.COM と EAST.ACME.COM の 2 つのレルムを使用します。レルム間認証は両方向で行われます。この手順は、両方のレルムのマスター KDC 上で行います。

1. 階層的なレルム間認証を確立するための前提条件

   この手順では、各レルムのマスター KDC を構成しておく必要があります。プロセス全体を通してテストするには、いくつかのクライアントまたはスレーブ KDC をインストールしておく必要があります。

2. 最初のマスター KDC サーバー上でスーパーユーザーになります。

3. kadmin を使用して、2 つのレルムにチケット許可チケットのサービスプリンシパルを作成します。

   マスター KDC を構成するときに作成した admin プリンシパル名の 1 つでログインする必要があります。

   # /usr/krb5/sbin/kadmin -p kws/admin Enter password: <kws/admin のパスワードを入力する> kadmin: addprinc krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM Enter password for principal krgtgt/ENG.EAST.ACME.COM@EAST.ACME.COM: <パスワードを入力する> kadmin: addprinc krbtgt/EAST.ACME.COM@ENG.EAST.ACME.COM Enter password for principal krgtgt/EAST.ACME.COM@ENG.EAST.ACME.COM: <パスワードを入力する> kadmin: quit

   ---

   注 -

   各サービスプリンシパルに入力するパスワードは両方の KDC で同じにします。つまり、krbtgt/ENG.EAST.ACME.COM@EAST.ACME.COM のパスワードは両方のレルムで同じにします。

   ---

4. 各レルムのドメイン名を定義するエントリを Kerberos 構成ファイル (krb5.conf) に追加します。

   # cat /etc/krb5/krb5.conf [libdefaults] . . [domain_realm] .eng.east.acme.com = ENG.EAST.ACME.COM .east.acme.com = EAST.ACME.COM

   この例では、ENG.EAST.ACME.COM と EAST.ACME.COM のレルムのドメイン名が定義されています。ファイルはトップダウン方式で検索されるため、サブドメインを最初に入れることが重要です。

5. このレルムのすべてのクライアントに Kerberos 構成ファイルをコピーします。

   レルム間認証を適切に動作させるには、すべてのシステム (スレーブ KDC などのサーバーを含む) に新しいバージョンの Kerberos 構成ファイル (/etc/krb5/krb5.conf) をインストールしておく必要があります。

6. 次のレルムでも上記手順を繰り返します。