このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
LDAPまたはNISクライアントでKerberos認証を使用できるようにするには、yumを使用してkrb5-libs
およびkrb5-workstation
パッケージをインストールします。
認証構成GUI (system-config-authentication)を使用してLDAPまたはNISをユーザー・アカウント・データベースとして選択する場合は、Kerberosパスワードを認証方法として選択し、次の値を入力します。
- レルム
Kerberosレルムの名前。
- KDC
Kerberosのチケット発行チケットおよびサービス・チケットを発行できるキー配布センター(KDC)のカンマ区切りリスト。
- 管理サーバー
Kerberos管理サーバーのカンマ区切りリスト。
また、DNSを使用して次の設定を構成できます。
DNSを使用してレルムのホストを解決チェック・ボックスを選択すると、次の例のように、DNSの
TXT
レコードとして定義されたレルムの名前が検索されます。_kerberos.mydom.com IN TXT "MYDOM.COM"
DNSを使用してレルムのKDCを検索チェック・ボックスを選択すると、次の例のように、DNSの
SVR
レコードとして定義されたKDCおよび管理サーバーが検索されます。_kerberos._tcp.mydom.com IN SVR 1 0 88 krbsvr.mydom.com _kerberos._udp.mydom.com IN SVR 1 0 88 krbsvr.mydom.com _kpasswd._udp.mydom.com IN SVR 1 0 464 krbsvr.mydom.com _kerberos-adm._tcp.mydom.com IN SVR 1 0 749 krbsvr.mydom.com
図23.6に、ユーザー・アカウント・データベースとしてLDAPが選択され、認証としてKerberosが選択された認証構成GUIを示します。
または、次の例のように、authconfigコマンドを使用して、LDAPでのKerberos認証を構成できます。
#authconfig --enableldap
\--ldapbasedn="dc=mydom,dc=com" --ldapserver=ldap://ldap.mydom.com:389
\ [--enableldaptls --ldaploadcacert=https://ca-server.mydom.com/CAcert.pem
] \--enablekrb5
\--krb5realm=MYDOM.COM
|--enablekrb5realmdns
\--krb5kdc=krbsvr.mydom.com --krb5adminserver=krbsvr.mydom.com
|--enablekrb5kdcdns
\--update
NISの場合は次のとおりです。
#authconfig --enablenis
\--enablekrb5
\--krb5realm=MYDOM.COM
|--enablekrb5realmdns
\--krb5kdc=krbsvr.mydom.com --krb5adminserver=krbsvr.mydom.com
|--enablekrb5kdcdns
\--update
--enablekrb5オプションにより、pam_krb5.so
モジュールを使用するように/etc/pam.d
内のPAM構成ファイルが変更され、Kerberos認証が有効になります。 --enableldapおよび--enablenisオプションにより、システムで情報サービス用にLDAPまたはNISを使用できるように/etc/nsswitch.conf
が構成されます。
詳細は、authconfig(8)
、nsswitch.conf(5)
およびpam_krb5(5)
の各マニュアル・ページを参照してください。