SEAM クライアントを構成する方法 (Solaris のシステム管理 (セキュリティサービス))

Solaris のシステム管理 (セキュリティサービス)

SEAM クライアントを構成する方法

この手順では、次の構成パラメータを使用します。

レルム名 = EXAMPLE.COM
DNS ドメイン名 = example.com
マスター KDC = kdc1.example.com
スレーブ KDC = kdc2.example.com
クライアント = client.example.com
admin 主体 = kws/admin
ユーザー主体 = mre
オンラインヘルプ URL = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

注 -
この URL は、「SEAM 管理ツール」の節を指すように調整してください (「オンラインヘルプ URL」を参照)。

スーパーユーザーになります。

Kerberos 構成ファイル (krb5.conf) を編集します。

デフォルトの SEAM ファイルを変更する場合は、レルム名とサーバー名を変更する必要があります。gkadmin のヘルプファイルへのパスも指定する必要があります。

kdc1 # cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = EXAMPLE.COM

[realms]
                EXAMPLE.COM = {
                kdc = kdc1.example.com
                kdc = kdc2.example.com
                admin_server = kdc1.example.com
        }

[domain_realm]
        .example.com = EXAMPLE.COM
#
# if the domain name and realm name are equivalent, 
# this entry is not needed
#
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log

[appdefaults]
    gkadmin = {
        help_url = http://denver:8888/ab2/coll.384.1/SEAM/@AB2PageView/6956

(省略可能) NTP などのクロック同期メカニズムを使用して、クライアントのクロックをマスター KDC のクロックと同期化します。

NTP のインストールと使用は、必須ではありません。ただし、認証を完了するには、krb5.conf ファイルの libdefaults セクションに定義されているデフォルト時間内に、すべてのクロックを調整する必要があります。NTP については、「KDC と SEAM クライアントのクロックの同期化」を参照してください。

(省略可能) ユーザー主体が存在しない場合は、ユーザー主体を作成します。

このホストに関連付けられているユーザーに主体が割り当てられていない場合だけ、ユーザー主体を作成します。SEAM 管理ツールの使用方法については、「新しい主体を作成する方法」を参照してください。以下は、コマンド行の例です。

client1 # /usr/sbin/kadmin -p kws/admin
Enter password: <kws/admin パスワードを入力する>
kadmin: addprinc mre
Enter password for principal mre@EXAMPLE.COM: <パスワードを入力する>
Re-enter password for principal mre@EXAMPLE.COM: <パスワードを再度入力する>
kadmin:

root 主体を作成します。

主体のインスタンスがホスト名のときは、/etc/resolv.conf ファイル内のドメイン名が大文字であるか小文字であるかにかかわらず、FQDN は小文字で入力する必要があります。

kadmin: addprinc root/client1.example.com
Enter password for principal root/client1.example.com@EXAMPLE.COM: <パスワードを入力する>
Re-enter password for principal root/client1.example.com@EXAMPLE.COM: <パスワードを再度入力する>
kadmin: quit

(省略可能) NFS で Kerberos を使用するには、 /etc/nfssec.conf ファイル内の Kerberos セキュリティモードを有効にします。

/etc/nfssec.conf ファイルを編集して、Kerberos セキュリティモードの先頭にある # を削除します。

# cat /etc/nfssec.conf
 .
 .
#
# NFS の Kerberos V5 を使用するために次の行をコメントからはずす
#
krb5            390003  kerberos_v5     default -               # RPCSEC_GSS
krb5i           390004  kerberos_v5     default integrity       # RPCSEC_GSS
krb5p           390005  kerberos_v5     default privacy         # RPCSEC_GSS

(省略可能) SEAM クライアント上のユーザーが Kerberos NFS ファイルシステムを自動的にマウントして Kerberos 認証を使用する場合は、root ユーザーを認証する必要があります。

この処理を最も安全に実行するには、kinit コマンドを使用します。ただし、Kerberos によって保護されているファイルシステムをマウントするときは、 root として kinit を使用する必要があります。代わりに、キータブファイルを使用することもできます。キータブファイルの要件の詳細については、「NFS ファイルシステムをマウントするように root 認証を設定する」を参照してください。

client1 # /usr/bin/kinit root/client1.example.com
Password for root/client1.example.com@EXAMPLE.COM: <パスワードを入力する>

キータブファイルを使用するには、kadmin を使用して root 主体をクライアントのキータブに追加します。

client1 # /usr/sbin/kadmin -p kws/admin
Enter password: <kws/admin パスワードを入力する>
kadmin: ktadd root/client1.example.com
kadmin: Entry for principal root/client.example.com with
  kvno 3, encryption type DES-CBC-CRC added to keytab
  WRFILE:/etc/krb5/krb5.keytab
kadmin: quit

クライアントから Kerberos チケットの有効期限切れをユーザーに警告する場合は、/etc/krb5/warn.conf ファイルにエントリを作成します。

詳細は、warn.conf(4) のマニュアルページを参照してください。

例 - SEAM 以外の KDC を使用するように SEAM クライアントを設定する

SEAM 以外の KDC を使用するように SEAM クライアントを設定することができます。この場合、/etc/krb5/krb5.conf ファイルの realms セクションに、1 行を追加する必要があります。この行を追加すると、クライアントが Kerberos パスワード変更サーバーとの通信に使用するプロトコルが変更されます。この行の書式は次のとおりです。

[realms]
                EXAMPLE.COM = {
                kdc = kdc1.example.com
                kdc = kdc2.example.com
                admin_server = kdc1.example.com
                kpasswd_protocol = SET_CHANGE
        }