Solaris のシステム管理 (セキュリティサービス)

SEAM ファイル

表 13–1 SEAM ファイル

ファイル名 

説明 

~/.gkadmin

SEAM 管理ツールで新しい主体を作成するときのデフォルト値

~/.k5login

Kerberos アカウントに対してアクセス権を許可する主体のリスト

/etc/init.d/kdc

krb5kdc を起動または停止する init スクリプト

/etc/init.d/kdc.master

kadmind を起動または停止する init スクリプト

/etc/krb5/kadm5.acl

Kerberos アクセス制御リストファイル。KDC 管理者の主体名とその Kerberos 管理特権を含む

/etc/krb5/kadm5.keytab

マスター KDC 上の kadmin サービスのキータブファイル

/etc/krb5/kdc.conf

KDC 構成ファイル

/etc/krb5/kpropd.acl

Kerberos データベース伝播構成ファイル

/etc/krb5/krb5.conf

Kerberos レルム構成ファイル

/etc/krb5/krb5.keytab

ネットワークアプリケーションサーバー用キータブファイル

/etc/krb5/warn.conf

Kerberos 警告構成ファイル

/etc/pam.conf

PAM 構成ファイル

/tmp/krb5cc_uid

デフォルト資格キャッシュ (uid はユーザーの 10 進 UID)

/tmp/ovsec_adm.xxxxxx

パスワード変更操作の間だけ有効な一時資格キャッシュ (xxxxxx はランダムな文字列)

/var/krb5/.k5.REALM

KDC stash ファイル。KDC マスター鍵の暗号化されたコピーを含む

/var/krb5/kadmin.log

kadmind のログファイル

/var/krb5/kdc.log

KDC のログファイル

/var/krb5/principal.db

Kerberos 主体データベース

/var/krb5/principal.kadm5

Kerberos 管理データベース。ポリシー情報を含む

/var/krb5/principal.kadm5.lock

Kerberos 管理データベースのロックファイル

/var/krb5/principal.ok

Kerberos 主体データベースの初期化ファイル。Kerberos データベースの初期化が正常終了すると作成される

/var/krb5/slave_datatrans

KDC のバックアップファイルで、kprop_script スクリプトが伝播時に使用する

PAM 構成ファイル

デフォルトの PAM 構成ファイルは、認証サービス、アカウント管理、セッション管理、およびパスワード管理モジュールのエントリで構成されます。

認証モジュールの場合は、SEAM 1.0 または SEAM 1.0.1 がインストールされているときに、 rloginlogin、および dtlogin の新しいエントリが作成されます。これらのエントリの例を、以下に示します。これらのサービスはすべて PAM ライブラリ /usr/lib/security/pam_krb5.so.1 を使用して Kerberos 認証を行います。

これらのエントリでは try_first_pass オプションが使用されています。この場合、ユーザーの最初のパスワードを使用して認証が行われます。最初のパスワードを使用すると、複数のメカニズムが記述されていても、ユーザーは別のパスワードを入力する必要がありません。


# cat /etc/pam.conf
 .
 .
rlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
login auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
dtlogin auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass
other auth optional /usr/lib/security/pam_krb5.so.1 try_first_pass

アカウント管理モジュールの場合、Kerberos ライブラリを使用する dtlogin の新しいエントリが次のように作成されます。other エントリはデフォルトの規則を提供するために 1 つ含まれています。現時点では、other エントリによって何の動作も行われません。


dtlogin account optional /usr/lib/security/pam_krb5.so.1 
other account optional /usr/lib/security/pam_krb5.so.1

次に /etc/pam.conf ファイルの最後の 2 つのエントリを示します。セッション管理の other エントリではユーザー資格を破棄します。パスワード管理の新しい other エントリでは Kerberos ライブラリを選択します。


other session optional /usr/lib/security/pam_krb5.so.1 
other password optional /usr/lib/security/pam_krb5.so.1 try_first_pass