クライアントの構成オプション

Solaris 10 の新機能の 1 つに、kclient 設定ユーティリティーがあります。このユーティリティーは、対話型モードまたは非対話型モードで実行できます。対話型モードでは、ユーザーは、Kerberos 固有のパラメータ値を要求されます。このパラメータ値によって、クライアントの設定時に既存のインストールを変更することができます。非対話型モードでは、前もってパラメータ値が設定されたファイルが使用されます。また、非対話型モードではコマンド行オプションも使用できます。対話型モードでも非対話型モードでも手動の処理よりも手順が少なくてすむので、プロセスが迅速化され、ミスが起こりにくくなります。

Solaris 10 5/08 リリースでは、構成不要の Kerberos クライアントが可能になるように変更されました。環境内で次の規則に従うと、Solaris Kerberos クライアントには明示的な構成手順が必要なくなります。

• DNS が、KDC 用の SRV レコードを返すように構成されている。

• レルム名が DNS ドメイン名に一致するか、または KDC がリフェラルをサポートする。

• Kerberos クライアントがキータブを必要としない。

場合によっては、Kerberos クライアントを明示的に構成する方がよいことがあります。

• リフェラルが使用されていない場合、構成不要のロジックは、レルムを決定するためにホストの DNS ドメイン名に依存します。これにより若干のセキュリティーリスクが導入されますが、このリスクは dns_lookup_realm を有効にするよりはるかに軽微です。

• pam_krb5 モジュールは、キータブ内のホスト鍵のエントリに依存します。この要件は krb5.conf ファイルで無効にすることができますが、セキュリティー上の理由からそれはお勧めできません。krb5.conf(4) のマニュアルページを参照してください。

• 構成不要のプロセスは直接の構成に比べて非効率的であり、しかも DNS に大きく依存します。このプロセスは、直接構成されたクライアントに比べて多数の DNS 検索を実行します。

クライアントの設定プロセス全体の詳細については、「Kerberos クライアントの構成」を参照してください。