ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
LDAP データサーバーを使用するように KDC を構成する方法
マスターサーバー上でチケット認可サービス鍵をリフレッシュする方法
複数の Kerberos セキュリティーモードで安全な NFS 環境を設定する方法
Kerberos クライアントのインストールプロファイルの作成方法
Active Directory サーバー用に Kerberos クライアントを構成する方法
Kerberos によって保護された NFS ファイルシステムに root ユーザーとしてアクセスする方法
Kerberos レルム内のユーザーを自動的に移行するように構成する方法
すべてのチケット認可チケット (TGT) を自動的に更新する方法
KDC と Kerberos クライアントのクロックの同期化
サーバーのアップグレード後に Kerberos データベースを変換する方法
Kerberos データベースをスレーブ KDC に手動で伝播する方法
Kerberos 主体属性を Kerberos 以外のオブジェクトクラス型に結び付ける方法
辞書ファイルを使用してパスワードセキュリティーを強化する方法
22. Kerberos エラーメッセージとトラブルシューティング
ネットワークアプリケーションサーバーとは、次のいずれかのネットワークアプリケーションを 1 つ以上使ってアクセスを提供するホストのことです。ftp、rcp、rlogin、rsh、ssh、telnet。いくつかの手順を実行するだけで、これらのコマンドの Kerberos バージョンをサーバー上で有効にすることができます。
この手順では、次の構成パラメータを使用します。
アプリケーションサーバー = boston
admin 主体 = kws/admin
DNS ドメイン名 = example.com
レルム名 = EXAMPLE.COM
始める前に
この手順を行う場合には、マスター KDC がすでに構成されていなければなりません。このプロセスを十分にテストするには、複数の Kerberos クライアントが構成されている必要があります。
アプリケーションサーバー上で root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
NTP については、「KDC と Kerberos クライアントのクロックの同期化」を参照してください。
次のコマンドは、ホスト主体の存在有無を報告します。
boston # klist -k |grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM
このコマンドを実行しても主体が返されなかった場合、次の手順に従って新しい主体を作成します。
Kerberos GUI 管理ツールを使って主体を追加する方法は、「新しい Kerberos 主体を作成する方法」に説明されています。次の手順例は、コマンド行から必要な主体を追加する方法を示したものです。マスター KDC を構成するときに作成した admin 主体名を使用して、ログインする必要があります。
boston # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
host 主体は、次のように使用されます。
rsh や ssh など、リモートコマンドの使用時にトラフィックを認証します。
pam_krb5 により、host 主体を使用してユーザーの Kerberos 資格が信頼できる KDC から取得されたことを確認し、KDC へのなりすまし攻撃を防ぎます。
root ユーザーが root 主体の存在なしで Kerberos 資格を自動的に取得できるようにします。これは、共有で Kerberos 資格が必要な場合に手動の NFS マウントを実行するのに役立つことがあります。
リモートアプリケーションを使用するトラフィックに Kerberos サービスによる認証が必要な場合は、この主体が必要です。サーバーに複数のホスト名が割り当てられている場合は、ホスト名の FQDN 形式を使用してホスト名ごとに主体を作成します。
kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:
kadmin コマンドが実行中でない場合は、次のようなコマンドでリブートします。/usr/sbin/kadmin -p kws/admin
サーバーに複数のホスト名が割り当てられている場合は、ホスト名ごとに主体をキータブに追加します。
kadmin: ktadd host/boston.example.com Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type ArcFour with HMAC/md5 added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type DES cbc mode with RSA-MD5 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
Generic Security Service (GSS) をアプリケーションに使用すると、認証、整合性、および機密性のために Kerberos を簡単に使用できます。次の手順は、ProFTPD の GSS サービスを有効にする方法を示しています。
始める前に
FTP サーバー上で root 役割になる必要があります。詳細は、「割り当てられている管理権限を使用する方法」を参照してください。
それらの変更を前に行なっている場合は、これらの手順が必要ないことがあります。
ftpserver1 # /usr/sbin/kadmin -p kws/admin Enter password: <Type kws/admin password> kadmin:
kadmin: ank -randkey ftp/ftpserver1.example.com
新しいキータブファイルを作成すると、サーバーのキータブファイル内のすべての情報を公開しなくても、FTP サービスでこの情報を使用できるようになります。
kadmin: ktadd -k /etc/krb5/ftp.keytab ftp/ftpserver1.example.com
ftpserver1 # chown ftp:ftp /etc/krb5/ftp.keytab
/etc/proftpd.conf ファイルに次の変更を行います。
# cat /etc/proftpd.conf LoadModule mod_gss.c GSSEngine on GSSKeytab /etc/krb5/ftp.keytab
# svcadm restart network/ftp