複数のレルムを接続して、レルム間でユーザーを認証することができます。いくつかの方法がありますが、通常は、秘密鍵を作成し、2 つのレルム間で共有します。レルム間の関係には、階層関係または直接接続があります (「レルムの階層」 を参照)。
この手順の例では、 ENG.EAST.EXAMPLE.COM レルムと EAST.EXAMPLE.COM レルムを使用します。レルム間認証は、双方向に確立されます。この手順は、2 つのレルムのマスター KDC 上で完了する必要があります。
階層関係のレルム間認証の前提条件を完了します。
マスター KDC の各レルムが構成済みである必要があります。認証処理を十分にテストするには、複数のクライアントまたはスレーブ KDC をインストールしている必要があります。
最初のマスター KDC 上でスーパーユーザーになります。
2 つのレルムに対して、TGT のサービス主体を作成します。
マスター KDC を構成したときに作成した admin 主体名を使用して、ログインする必要があります。
# /usr/sbin/kadmin -p kws/admin Enter password: <kws/admin パスワードを入力する> kadmin: addprinc krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM Enter password for principal krgtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM: <パスワードを入力する> kadmin: addprinc krbtgt/EAST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM Enter password for principal krgtgt/EAST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM: <パスワードを入力する> kadmin: quit |
各サービス主体のパスワードは、2 つの KDC で同一である必要があります。そのため、サービス主体 krbtgt/ENG.EAST.EXAMPLE.COM@EAST.EXAMPLE.COM のパスワードは、2 つのレルムで同じである必要があります。
Kerberos 構成ファイル (krb5.conf) にエントリを追加して、すべてのレルムのドメイン名を定義します。
# cat /etc/krb5/krb5.conf [libdefaults] . . [domain_realm] .eng.east.example.com = ENG.EAST.EXAMPLE.COM .east.example.com = EAST.EXAMPLE.COM |
この例では、ENG.EAST.EXAMPLE.COM レルムと EAST.EXAMPLE.COM レルムのドメイン名を定義しています。Kerberos 構成ファイルは先頭から末尾方向に検索されるため、サブドメインは最初に定義してください。
Kerberos 構成ファイルをこのレルムのすべてのクライアントにコピーします。
レルム間認証が動作するには、すべてのシステム (スレーブ KDC などのサーバーを含む) に新しいバージョンの Kerberos 構成ファイル (/etc/krb5/krb5.conf) がインストールされている必要があります。
もう一方のレルムで上記の手順を繰り返します。
この手順の例では、ENG.EAST.EXAMPLE.COM レルムと SALES.WEST.EXAMPLE.COM レルムを使用します。レルム間認証は、双方向に確立されます。この手順は、2 つのレルムのマスター KDC 上で完了する必要があります。
直接接続のレルム間認証の前提条件を完了します。
マスター KDC の各レルムが構成済みである必要があります。認証処理プロセスを十分にテストするには、複数のクライアントまたはスレーブ KDCをインストールしている必要があります。
いずれかのマスター KDC サーバー上でスーパーユーザーになります。
2 つのレルムに対して、チケット認可チケットのサービス主体を作成します。
マスター KDC を構成したときに作成した admin 主体名を使用して、ログインする必要があります。
# /usr/sbin/kadmin -p kws/admin Enter password: <kws/admin パスワードを入力する> kadmin: addprinc krbtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM Enter password for principal krgtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM: <パスワードを入力する> kadmin: addprinc krbtgt/SALES.WEST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM Enter password for principal krgtgt/SALES.WEST.EXAMPLE.COM@ENG.EAST.EXAMPLE.COM: <パスワードを入力する> kadmin: quit |
各サービス主体のパスワードは、2 つの KDC で同一である必要があります。そのため、サービス主体 krbtgt/ENG.EAST.EXAMPLE.COM@SALES.WEST.EXAMPLE.COM のパスワードは、2 つのレルムで同じである必要があります。
Kerberos 構成ファイル (krb5.conf) にエントリを追加して、リモートレルムへの直接パスを定義します。
この例は、ENG.EAST.EXAMPLE.COM レルムのクライアントを示しています。SALES.WEST.EXAMPLE.COM レルムで適切な定義をするには、レルム名をスワップする必要があります。
# cat /etc/krb5/krb5.conf [libdefaults] . . [capaths] ENG.EAST.EXAMPLE.COM = { SALES.WEST.EXAMPLE.COM = . } SALES.WEST.EXAMPLE.COM = { ENG.EAST.EXAMPLE.COM = . } |
Kerberos 構成ファイルを現在のレルムのすべてのクライアントにコピーします。
レルム間認証が動作するには、すべてのシステム (スレーブ KDC などのサーバーを含む) に新しいバージョンの Kerberos 構成ファイル (krb5.conf) がインストールされている必要があります。
もう一方のレルムで上記の手順を繰り返します。