JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Solaris のシステム管理 (セキュリティサービス)     Oracle Solaris 10 8/11 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

パート I セキュリティーの概要

1.  セキュリティーサービス (概要)

パート II システム、ファイル、およびデバイスのセキュリティー

2.  マシンセキュリティーの管理 (概要)

3.  システムアクセスの制御 (作業)

4.  デバイスアクセスの制御 (作業)

5.  基本監査報告機能の使用方法 (作業)

6.  ファイルアクセスの制御 (作業)

7.  自動セキュリティー拡張ツールの使用 (手順)

パート III 役割、権利プロファイル、特権

8.  役割と特権の使用 (概要)

9.  役割によるアクセス制御の使用 (手順)

10.  役割によるアクセス制御 (参照)

11.  特権 (手順)

12.  特権 (参照)

パート IV 暗号化サービス

13.  Oracle Solaris の暗号化フレームワーク (概要)

14.  Oracle Solaris の暗号化フレームワーク (手順)

15.  Oracle Solaris 鍵管理フレームワーク

パート V 認証サービスと安全な通信

16.  認証サービスの使用 (手順)

17.  PAM の使用

18.  SASL の使用

19.  Oracle Solaris Secure Shell の使用 (手順)

20.  Oracle Solaris Secure Shell (参照)

パート VI Kerberos サービス

21.  Kerberos サービスについて

22.  Kerberos サービスの計画

23.  Kerberos サービスの構成 (手順)

Kerberos サービスの構成 (作業マップ)

追加の Kerberos サービスの構成 (作業マップ)

KDC サーバーの構成

マスター KDC を手動で構成する方法

LDAP データサーバーを使用するように KDC を構成する方法

スレーブ KDC を手動で構成する方法

マスターサーバー上でチケット認可サービス鍵を更新する方法

レルム間認証の構成

階層関係のレルム間認証を設定する方法

直接接続のレルム間認証を確立する方法

Kerberos ネットワークアプリケーションサーバーの構成

Kerberos ネットワークアプリケーションサーバーを構成する方法

Kerberos NFS サーバーの構成

Kerberos NFS サーバーを構成する方法

資格テーブルを作成する方法

資格テーブルに 1 つのエントリを追加する方法

レルム間の資格マッピングを提供する方法

複数の Kerberos セキュリティーモードで安全な NFS 環境を設定する方法

Kerberos クライアントの構成

Kerberos クライアントの構成 (作業マップ)

Kerberos クライアントのインストールプロファイルの作成方法

Kerberos クライアントを自動的に構成する方法

Kerberos クライアントを対話的に構成する方法

Kerberos クライアントを手動で構成する方法

チケット認可チケット (TGT) の確認を無効にする方法

Kerberos によって保護された NFS ファイルシステムに root ユーザーとしてアクセスする方法

Kerberos レルム内のユーザーを自動的に移行するように構成する方法

KDC と Kerberos クライアントのクロックの同期化

マスター KDC とスレーブ KDC の入れ替え

入れ替え可能なスレーブ KDC を構成する方法

マスター KDC とスレーブ KDC を入れ替えする方法

Kerberos データベースの管理

Kerberos データベースのバックアップと伝播

kpropd.acl ファイル

kprop_script コマンド

Kerberos データベースをバックアップする方法

Kerberos データベースを復元する方法

サーバーのアップグレード後に Kerberos データベースを変換する方法

マスター KDC を再構成して増分伝播を使用する方法

スレーブ KDC を再構成して増分伝播を使用する方法

完全伝播を使用するようにスレーブ KDC を構成する方法

KDC サーバーが同期しているかを検査する方法

Kerberos データベースをスレーブ KDC に手動で伝播する方法

並列伝播の設定

並列伝播を設定するための構成手順

stash ファイルの管理

stash ファイルを削除する方法

LDAP ディレクトリサーバーでの KDC の管理

Kerberos 主体属性を Kerberos 以外のオブジェクトクラス型に結び付ける方法

LDAP ディレクトリサーバーでレルムを破棄する方法

Kerberos サーバー上のセキュリティーの強化

Kerberos アプリケーションのみを有効にする方法

KDC サーバーへのアクセスを制限する方法

辞書ファイルを使用してパスワードセキュリティーを強化する方法

24.  Kerberos エラーメッセージと障害追跡

25.  Kerberos 主体とポリシーの管理 (手順)

26.  Kerberos アプリケーションの使用 (手順)

27.  Kerberos サービス (参照)

パート VII Oracle Solaris 監査

28.  Oracle Solaris 監査 (概要)

29.  Oracle Solaris 監査の計画

30.  Oracle Solaris 監査の管理 (手順)

31.  Oracle Solaris 監査 (参照)

用語集

索引

Kerberos サーバー上のセキュリティーの強化

Kerberos アプリケーションサーバーと KDC サーバーのセキュリティーを強化するには、次の手順に従ってください。

表 23-4 Kerberos サーバーのセキュリティーの強化 (作業マップ)

タスク
説明
説明
Kerberos 認証を使用してアクセスを有効にします。
ネットワークアクセスを制限し、サーバーで Kerberos 認証のみが許可されるようにします。
「Kerberos アプリケーションのみを有効にする方法」
KDC サーバーへのアクセスを制限します。
KDC サーバーとそのデータのセキュリティーを強化します。
「KDC サーバーへのアクセスを制限する方法」
辞書ファイルを使用してパスワードセキュリティーを強化します。
新しいパスワードを辞書と照合してパスワードのセキュリティーを強化します。
「辞書ファイルを使用してパスワードセキュリティーを強化する方法」

Kerberos アプリケーションのみを有効にする方法

この手順を実行すると、telnetftprcprsh、 および rlogin を実行しているサーバーへのネットワークアクセスが、Kerberos 認証されたトランザクションだけを使用するネットワークアクセスに制限されます。

  1. telnet サービスの exec プロパティーを変更します。

    telnetexec プロパティーに -a user オプションを追加すると、有効な認証情報を提供できるユーザーにアクセスが制限されます。

    # inetadm -m svc:/network/telnet:default exec="/usr/sbin/in.telnetd -a user"
  2. (省略可能) まだ構成されていない場合は、telnet サービスのexec のプロパティーを変更します。

    ftpexec プロパティーに -a オプションを追加すると、Kerberos 認証された接続のみが許可されます。

    # inetadm -m svc:/network/ftp:default exec="/usr/sbin/in.ftpd -a"
  3. 他のサービスを無効にします。

    in.rshdin.rlogind デーモンを無効にする必要があります。

    # svcadm disable network/shell
# svcadm disable network/login:rlogin

KDC サーバーへのアクセスを制限する方法

マスター KDC およびスレーブ KDC には、KDC データベースのローカルコピーがあります。データベースを保護するためにこれらのサーバーへのアクセス権を制限することは、Kerberos 全体のセキュリティーにとって重要です。

  1. 必要に応じて、遠隔サービスを無効にします。

    KDC サーバーをセキュリティー保護するために、不要なネットワークサービスをすべて無効にします。構成によっては、いくつかのサービスは既に無効になっています。svcs コマンドを使用して、サービス状態を確認します。ほとんどの環境では、KDC がマスターの場合に動作している必要のあるサービスは krb5kdckadmin のみです。ループバック TLI を使用するサービス (ticltsticotsord、 および ticots) は、有効にしておくことができます。 

    # svcadm disable network/comsat
# svcadm disable network/dtspc/tcp
# svcadm disable network/finger
# svcadm disable network/login:rlogin
# svcadm disable network/rexec
# svcadm disable network/shell
# svcadm disable network/talk
# svcadm disable network/tname
# svcadm disable network/uucp
# svcadm disable network/rpc_100068_2-5/rpc_udp
  2. KDC をサポートするハードウェアに対するアクセスを制限します。

    物理的なアクセスを制限するために、KDC とそのモニターは安全な場所に設置します。このサーバーへのアクセスを完全に制限することが目的です。

  3. KDC データベースのバックアップを、ローカルディスクまたはスレーブ KDC に格納します。

    KDC のバックアップをテープに作成する場合、そのテープのセキュリティーを十分に確保してください。キータブファイルのコピーも、同様に作成します。これらのファイルをローカルファイルシステムに格納する場合は、できるだけほかのシステムと共有しないでください。格納先のファイルシステムは、マスター KDC または任意のスレーブ KDC から選択できます。

辞書ファイルを使用してパスワードセキュリティーを強化する方法

Kerberos サービスで辞書ファイルを使用することにより、新しい資格の作成時に辞書内の単語がパスワードとして使用されるのを防ぐことができます。辞書の用語がパスワードとして使用されないようにすると、パスワードの推測が困難になります。デフォルトでは /var/krb5/kadm5.dict ファイルが使用されますが、これは空です。

  1. マスター KDC 上でスーパーユーザーになります。
  2. KDC 構成ファイル (kdc.conf) を編集します。

    行を追加して、サービスで辞書ファイルが使用されるようにする必要があります。この例では、spell ユーティリティーに含まれる辞書を使用します。構成ファイルの詳細は、kdc.conf(4) のマニュアルページを参照してください。 

    kdc1 # cat /etc/krb5/kdc.conf
[kdcdefaults]
        kdc_ports = 88,750

[realms]
        EXAMPLE.COM = {
                profile = /etc/krb5/krb5.conf
                database_name = /var/krb5/principal
                admin_keytab = /etc/krb5/kadm5.keytab
                acl_file = /etc/krb5/kadm5.acl
                kadmind_port = 749
                max_life = 8h 0m 0s
                max_renewable_life = 7d 0h 0m 0s
                sunw_dbprop_enable = true
                sunw_dbprop_master_ulogsize = 1000
                dict_file = /usr/share/lib/dict/words
                }
  3. Kerberos デーモンを再起動します。
    kdc1 # svcadm restart -r network/security/krb5kdc
kdc1 # svcadm restart -r network/security/kadmin
Copyright © 2002, 2011, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ