マスター KDC を構成する方法 (Solaris のシステム管理 (セキュリティサービス))

Solaris のシステム管理 (セキュリティサービス)

マスター KDC を構成する方法

この手順では、次の構成パラメータを使用します。

レルム名 = EXAMPLE.COM
DNS ドメイン名 = example.com
マスター KDC = kdc1.example.com
スレーブ KDC = kdc2.example.com
admin 主体 = kws/admin
オンラインヘルプ URL = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

注 -
この URL は、「SEAM 管理ツール」の節を指すように調整してください (「オンラインヘルプ URL」を参照)。

マスター KDC を構成するための前提条件を完了します。

この手順では、DNS が動作している必要があります。マスター KDC をスワップ可能にする場合の命名手順については、「マスター KDC とスレーブ KDC のスワップ」を参照してください。

マスター KDC 上でスーパーユーザーになります。

Kerberos 構成ファイル (krb5.conf) を編集します。

レルム名とサーバー名を変更する必要があります。Kerberos 構成ファイルの詳細は、krb5.conf(4) のマニュアルページを参照してください。

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = EXAMPLE.COM

[realms]
                EXAMPLE.COM = {
                kdc = kdc1.example.com
                kdc = kdc2.example.com
                admin_server = kdc1.example.com
        }

[domain_realm]
        .example.com = EXAMPLE.COM
#
# ドメイン名とレルム名が同じ場合、 
# このエントリは必要ない
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
        help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956
        }

この例では、domain_realm、 kdc、admin_server、およびすべての domain_realm エントリの行を変更しました。また、help_url を定義する行を編集しました。

KDC 構成ファイル (kdc.conf) を編集します。

レルム名を変更する必要があります。KDC 構成ファイルの詳細は、kdc.conf(4) のマニュアルページを参照してください。

kdc1 # cat /etc/krb5/kdc.conf
[kdcdefaults]
        kdc_ports = 88,750

[realms]
        EXAMPLE.COM= {
                profile = /etc/krb5/krb5.conf
                database_name = /var/krb5/principal
                admin_keytab = /etc/krb5/kadm5.keytab
                acl_file = /etc/krb5/kadm5.acl
                kadmind_port = 749
                max_life = 8h 0m 0s
                max_renewable_life = 7d 0h 0m 0s
        }

この例では、realms セクションのレルム名定義を変更しました。

kdb5_util コマンドを使用して、KDC データベースを作成します。

kdb5_util は、KDC データベースを作成するコマンドです。-s オプションを指定すると、kadmind と krb5kdc デーモンが起動する前に、KDC の認証に使用される stash ファイルが作成されます。

kdc1 # /usr/sbin/kdb5_util create -r EXAMPLE.COM -s
Initializing database '/var/krb5/principal' for realm 'EXAMPLE.COM'
master key name 'K/M@EXAMPLE.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key: <鍵を入力する>
Re-enter KDC database master key to verify: <鍵を再度入力する>

レルム名がサーバーの名前空間のドメイン名と同じ場合は、レルム名を指定する -r オプションは必要はありません。

Kerberos アクセス制御リストファイル (kadm5.acl) を編集します。

/etc/krb5/kadm5.acl ファイルには、KDC を管理できる主体名がすべて含まれている必要があります。最初のエントリは、次のようになります。
kws/admin@EXAMPLE.COM *
このエントリにより、 EXAMPLE.COM レルム内の kws/admin 主体に対して、KDC 内の主体またはポリシーを変更する機能が提供されます。デフォルトでは、アスタリスク (*) が指定され、すべての admin 主体に変更権限が与えられます。このデフォルトの指定では、セキュリティが低下する可能性があります。そのため、admin 主体をすべてリストに含めると、セキュリティが向上します。詳細は、kadm5.acl(4) のマニュアルページを参照してください。

kadmin.local コマンドを起動します。

次の手順では、SEAM で使用される主体を作成します。

kdc1 # /usr/sbin/kadmin.local
kadmin.local:

データベースに管理主体を追加します。

必要な数の admin 主体を追加できます。KDC 構成処理を完了するには、1 つ以上の admin 主体を追加する必要があります。この例では、kws/admin 主体を追加します。「kws」の代わりに、適切な主体名を置き換えてください。

kadmin.local: addprinc kws/admin
Enter password for principal kws/admin@EXAMPLE.COM: <パスワードを入力する>
Re-enter password for principal kws/admin@EXAMPLE.COM: <パスワードを再度入力する>
Principal "kws/admin@EXAMPLE.COM" created.
kadmin.local:

kadmind サービスのキータブファイルを作成します。

このコマンドシーケンスは、kadmin および changepw 主体のエントリを保持するキータブを作成します。これらの主体は、kadmind サービスに必要です。主体のインスタンスがホスト名のときは、/etc/resolv.conf ファイル内のドメイン名が大文字であるか小文字であるかにかかわらず、FQDN は小文字で入力する必要があります。

kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/kdc1.example.com
Entry for principal kadmin/kdc1.example.com with kvno 3, encryption type DES-CBC-CRC
          added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab changepw/kdc1.example.com
Entry for principal changepw/kdc1.example.com with kvno 3, encryption type DES-CBC-CRC 
          added to keytab WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local:

kadmin.local を終了します。

次の手順で必要になる主体をすべて追加しました。
kadmin.local: quit

Kerberos デーモンを起動します。

kdc1 # /etc/init.d/kdc start
kdc1 # /etc/init.d/kdc.master start

kadmin を起動します。

この時点で、SEAM 管理ツールを使用して、主体を追加します。追加するには、上記の手順で作成した admin 主体名を使用してログインする必要があります。ただし、以下のコマンド行の例では、簡略化されています。

kdc1 # /usr/sbin/kadmin -p kws/admin
Enter password: <kws/admin パスワードを入力する>
kadmin:

マスター KDC のホスト主体を作成します。

ホスト主体は、klist や kprop などの Kerberos アプリケーションで使用されます。主体のインスタンスがホスト名のときは、/etc/resolv.conf ファイル内のドメイン名が大文字であるか小文字であるかにかかわらず、FQDN は小文字で入力する必要があります。
kadmin: addprinc -randkey host/kdc1.example.com Principal "host/kdc1.example.com@EXAMPLE.COM" created. kadmin:

(省略可能) マスター KDC の root 主体を作成します。

この主体は、認証済みの NFS マウントで使用されます。そのため、この主体は、マスター KDC 上にある必要はありません。主体のインスタンスがホスト名のときは、/etc/resolv.conf ファイル内のドメイン名が大文字であるか小文字であるかにかかわらず、FQDN は小文字で入力する必要があります。

kadmin: addprinc root/kdc1.example.com
Enter password for principal root/kdc1.example.com@EXAMPLE.COM: <パスワードを入力する>
Re-enter password for principal root/kdc1.example.com@EXAMPLE.COM: <パスワードを再度入力する>
Principal "root/kdc1.example.com@EXAMPLE.COM" created.
kadmin:

マスター KDC のキータブファイルにマスター KDC のホスト主体を追加します。

キータブファイルに追加したホスト主体が、自動的に使用されます。
kadmin: ktadd host/kdc1.example.com kadmin: Entry for principal host/kdc1.example.com with kvno 3, encryption type DES-CBC-CRC added to keytab WRFILE:/etc/krb5/krb5.keytab kadmin:

kadmin を終了します。
kadmin: quit

各 KDC のエントリを伝播構成ファイル (kpropd.acl) に追加します。

このファイルの詳細は、kprop(1M) のマニュアルページを参照してください。
kdc1 # cat /etc/krb5/kpropd.acl host/kdc1.example.com@EXAMPLE.COM host/kdc2.example.com@EXAMPLE.COM

(省略可能) NTP などのクロック同期メカニズムを使用して、マスター KDC のクロックを同期化します。

NTP のインストールと使用は、必須ではありません。ただし、認証が正常終了するには、krb5.conf ファイルの libdefaults セクションに定義されているデフォルト時間内に、すべてのクロックを調整する必要があります。NTP については、「KDC と SEAM クライアントのクロックの同期化」を参照してください。