このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
Kerberosクライアントをシステム上に設定すると、Kerberosを使用して、NISまたはLDAPで定義されたユーザーを認証したり、GSS-APIを有効にしたsshなどのコマンド、またはtelnetのKerberos実装を使用してセキュアなリモート・アクセスが可能になります。
システムをKerberosクライアントとして設定するには:
DNSを使用し、クライアントとKerberosサーバーの両方についてドメイン名とIPアドレスの直接および逆引き名前参照が機能するように、クライアント・システムを構成します。
DNSの構成の詳細は、第13章「名前サービス構成」を参照してください。
ネットワーク・タイム・プロトコル(NTP)などのネットワーク・タイム同期化プロトコルを使用するように、システムを構成します。 Kerberosでは、Kerberosサーバーとクライアントのシステム時間が可能なかぎり緊密に同期化される必要があります。 サーバーとクライアントのシステム時間の差異が300秒(デフォルト)を超えると、認証が失敗します。
サーバーをNTPクライアントとして構成するには:
ntp
パッケージをインストールします。#
yum install ntp
必要に応じて、
/etc/ntp.conf
を編集して設定を構成します。ntp.conf(5)
マニュアル・ページおよびhttp://www.ntp.orgを参照してください。ntpd
サービスを開始し、システムの再起動後に開始するように構成します。#
service ntpd start
#chkconfig ntpd on
krb5-libs
およびkrb5-workstation
パッケージをインストールします。#
yum install krb5-libs krb5-workstation
/etc/krb5.conf
ファイルをKerberosサーバーからシステムにコピーします。次の例のように、認証構成GUIまたはauthconfigを使用して、NISまたはLDAPでKerberosを使用するようにシステムを設定します。
#
authconfig --enablenis --enablekrb5 --krb5realm=MYDOM.COM
\--krb5adminserver=krbsvr.mydom.com --krb5kdc=krbsvr.mydom.com
\--update
第23.6.3項「Kerberos認証の有効化」を参照してください。
次の例のように、Kerberos KDCで、kadminまたはkadmin.localを使用してクライアントのホスト・プリンシパルを追加します。
#
kadmin.local -q "addprinc -randkey host/
client.mydom.com
"次の例のように、クライアント・システムでkadminを使用して、ホスト・プリンシパルのキーを
/etc/kadm5.keytab
にキャッシュします。#
kadmin -q "ktadd -k /etc/kadm5.keytab host/
client.mydom.com
"sshおよび関連するOpenSSHコマンドを使用して、Kerberosクライアント・システムから別のKerberosクライアント・システムに接続するには:
リモートKerberosクライアント・システムで、
GSSAPIAuthentication
が/etc/ssh/sshd_config
で有効であることを確認します。GSSAPIAuthentication yes
ローカルKerberosクライアント・システムで、ユーザーの
.ssh/config
ファイル内でGSSAPIAuthentication
およびGSSAPIDelegateCredentials
を有効にします。GSSAPIAuthentication yes GSSAPIDelegateCredentials yes
ユーザーは、-Kオプションをsshに指定することもできます。
次の例のように、プリンシパルがチケットを取得し、リモート・システムに接続できることをテストします。
$
kinit
$principal_name
@MYDOM.COM
ssh
username
@remote.mydom.com
krb5-appl-clients
パッケージで提供されるrlogin、rshおよびtelnetのKerberosバージョンを使用可能にするには、リモート・クライアントで対応するサービスを有効にする必要があります。
詳細は、kadmin(1)
マニュアル・ページを参照してください。