このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。

機械翻訳について

23.6.2 Kerberosクライアントの構成

Kerberosクライアントをシステム上に設定すると、Kerberosを使用して、NISまたはLDAPで定義されたユーザーを認証したり、GSS-APIを有効にしたsshなどのコマンド、またはtelnetのKerberos実装を使用してセキュアなリモート・アクセスが可能になります。

システムをKerberosクライアントとして設定するには:

  1. DNSを使用し、クライアントとKerberosサーバーの両方についてドメイン名とIPアドレスの直接および逆引き名前参照が機能するように、クライアント・システムを構成します。

    DNSの構成の詳細は、第13章「名前サービス構成」を参照してください。

  2. ネットワーク・タイム・プロトコル(NTP)などのネットワーク・タイム同期化プロトコルを使用するように、システムを構成します。 Kerberosでは、Kerberosサーバーとクライアントのシステム時間が可能なかぎり緊密に同期化される必要があります。 サーバーとクライアントのシステム時間の差異が300秒(デフォルト)を超えると、認証が失敗します。

    サーバーをNTPクライアントとして構成するには:

    1. ntpパッケージをインストールします。 

      # yum install ntp

    2. 必要に応じて、/etc/ntp.confを編集して設定を構成します。 ntp.conf(5)マニュアル・ページおよびhttp://www.ntp.orgを参照してください。

    3. ntpdサービスを開始し、システムの再起動後に開始するように構成します。 

      # service ntpd start
# chkconfig ntpd on

  3. krb5-libsおよびkrb5-workstationパッケージをインストールします。 

    # yum install krb5-libs krb5-workstation

  4. /etc/krb5.confファイルをKerberosサーバーからシステムにコピーします。

  5. 次の例のように、認証構成GUIまたはauthconfigを使用して、NISまたはLDAPでKerberosを使用するようにシステムを設定します。 

    # authconfig --enablenis --enablekrb5 --krb5realm=MYDOM.COM \
  --krb5adminserver=krbsvr.mydom.com --krb5kdc=krbsvr.mydom.com \
  --update

    第23.6.3項「Kerberos認証の有効化」を参照してください。

  6. 次の例のように、Kerberos KDCで、kadminまたはkadmin.localを使用してクライアントのホスト・プリンシパルを追加します。 

    # kadmin.local -q "addprinc -randkey host/client.mydom.com"

  7. 次の例のように、クライアント・システムでkadminを使用して、ホスト・プリンシパルのキーを/etc/kadm5.keytabにキャッシュします。 

    # kadmin -q "ktadd -k /etc/kadm5.keytab host/client.mydom.com"

  8. sshおよび関連するOpenSSHコマンドを使用して、Kerberosクライアント・システムから別のKerberosクライアント・システムに接続するには:

    1. リモートKerberosクライアント・システムで、GSSAPIAuthentication/etc/ssh/sshd_configで有効であることを確認します。 

      GSSAPIAuthentication yes

    2. ローカルKerberosクライアント・システムで、ユーザーの.ssh/configファイル内でGSSAPIAuthenticationおよびGSSAPIDelegateCredentialsを有効にします。 

      GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes

      ユーザーは、-Kオプションをsshに指定することもできます。

    3. 次の例のように、プリンシパルがチケットを取得し、リモート・システムに接続できることをテストします。 

      $ kinit principal_name@MYDOM.COM
$ ssh username@remote.mydom.com

    krb5-appl-clientsパッケージで提供されるrloginrshおよびtelnetのKerberosバージョンを使用可能にするには、リモート・クライアントで対応するサービスを有効にする必要があります。

詳細は、kadmin(1)マニュアル・ページを参照してください。

Copyright © 2013, 2021, Oracle and/or its affiliates. 法律上の注意点