Oracle® Solaris 11.2 システムのインストール

印刷ビューの終了

 
更新: 2014 年 7 月
 
 

AI を使用して Kerberos クライアントを構成する方法

この手順では、クライアントの keytab ファイルはすでに AI サーバーで作成および格納されています。この例では、既存の資格を使用するか、新しいプリンシパルを使用することによって Kerberos クライアントを構成する、自動登録を使用します。自動登録プロセスは、個々のクライアント用に keytab ファイルを作成してエンコードする必要がないため簡単です。

  1. 管理者になります。

    詳細は、How to Use Your Assigned Administrative Rights in Oracle Solaris 11.2 Administration: Security Servicesを参照してください。

  2. 必要に応じてインストールサービスを作成します。 
    # installadm create-service -n krb-sparc \ 
    -d /export/auto_install/krb-sparc \ 
    -s /export/auto_install/iso/sol-11_2-ai-sparc.iso
Creating service from:
/export/auto_install/iso/sol-11_2-ai-sparc.iso 
Setting up the image ... 
Creating sparc service: krb-sparc 
Image path: /export/auto_install/krb-sparc 
Refreshing install services
  3. クライアントをサービスに関連付けます。

    Kerberos が動作しているインストールする必要があるすべてのクライアントに対して、この手順を繰り返します。この例では、11:11:11:11:11:11 アドレスを使用中のクライアントが、krb-sparc インストールサービスに関連付けられます。

    # installadm create-client -n krb-sparc -e 11:11:11:11:11:11
Adding host entry for 11:11:11:11:11:11 to local DHCP configuration.
  4. クライアントの資格を作成します。 
    # installadm set-client -c 11:11:11:11:11:11 -g 
Generating credentials for client 11:11:11:11:11:11... 
A new certificate key has been generated. 
A new certificate has been generated.
  5. Kerberos 構成ファイルの内容を定義するシステム構成プロファイルを作成します。

    この例では、kclient コマンドを対話的に実行してプロファイルを作成します。あるいは、コマンド行オプションを使用するか入力プロファイルを使用するコマンドを呼び出すことができます。詳細は、kclient(1M) のマニュアルページを参照してください。

    この例では、KDC は MIT サーバー上で実行されています。Solaris KDC の出力例を見るには、Example 8–31 を参照してください。AD クライアントの出力例を見るには、Example 8–33 を参照してください。

    # kclient -x /root/krb-sc.xml
Starting client setup
---------------------------------------------------
Is this a client of a non-Solaris KDC ? [y/n]: y
Which type of KDC is the server: 
       ms_ad: Microsoft Active Directory 
       mit: MIT KDC server 
       heimdal: Heimdal KDC server 
       shishi: Shishi KDC server 
Enter required KDC type: mit 
Do you want to use DNS for kerberos lookups ? [y/n]: n 
       No action performed. 
Enter the Kerberos realm: EXAMPLE.COM 
Specify the master KDCs for the above realm using a comma-separated list: kdc.example.com 
Do you have any slave KDC(s) ? [y/n]: y 
Enter a comma-separated list of slave KDC host names: kdc2.example.com 
Do you have multiple domains/hosts to map to a realm ? [y/n]: n
       No action performed.
Setting up /root/krb-sc.xml.
  6. (オプション) クライアントのバイナリ keytab ファイルを XML プロファイルに変換します。

    自動登録によって鍵を取得できるか、クライアントに鍵がない場合、この手順は不要です。クライアントに keytab ファイルを作成する必要がありますが、これは通常、クライアントが最初に構成されるときに KDC 管理者によって実行されます。

    # kclient-kt2prof -k ./host1.keytab -p /root/host1.xml
  7. クライアントの残りの部分を構成するクライアントプロファイルを作成します。

    この手順ではプロファイルを使用する必要があるため、システム構成プロファイルを使用して可能なかぎりクライアントを構成します。

  8. (オプション) プロファイルのセキュリティーポリシーを設定します。

    クライアントプロファイルが keytab を含む場合、require-client-auth セキュリティーポリシーをサービスに割り当てることで、認証済みクライアントのみが keytab ファイルをダウンロードできるようにする必要があります。 

    # installadm set-service -p require-client-auth -n krb-sparc
  9. クライアントプロファイルをクライアントサービスに関連付けます。

    Kerberos 構成ファイルとクライアント keytab ファイルのプロファイル、および作成したほかのすべてのプロファイルをインストールサービスに関連付けます。

    # installadm create-profile -n krb-sparc -f /root/krb-sc.xml 
Profile krb-sc.xml added to database. 
# installadm create-profile -n krb-sparc -f /root/host1.xml -c mac="11:11:11:11:11:11"
Profile host1.xml added to database.
  10. クライアントをブートして AI プロセスを開始します。
使用例 8-31  Kerberos クライアントのデプロイ中の既存の鍵のダウンロード

自動登録の使用は、KDC が Solaris KDC または MS AD のいずれかの場合にのみ機能することに注意してください。KDC が MIT、Heimdal、または Shishi の場合、事前生成された keytab 転送のみが可能です。

自動登録を使用して既存の鍵をダウンロードするには、KDC 上で c および i 管理者権限を使用して admin プリンシパルを作成しておく必要があります。この例では、プリンシパルの名前は download/admin です。手順については、Oracle Solaris 11.2 での Kerberos およびその他の認証サービスの管理 の新しい Kerberos 主体の作成およびOracle Solaris 11.2 での Kerberos およびその他の認証サービスの管理 の主体の Kerberos 管理権限の変更を参照してください。

この例で、KDC は Oracle Solaris を実行しています。また、クライアントの鍵がすでに作成されています。

この例は、Kerberos 構成ファイルのシステム構成プロファイルを作成するときに download/admin プリンシパルを追加する方法を示しています。download/admin プリンシパルは、Kerberos クライアントがデプロイされるときに KDC サーバーから既存の鍵を転送するために使用される特殊な admin プリンシパルです。

# kclient -x /root/krb-sc.xml	
Starting client setup 
--------------------------------------------------- 
Is this a client of a non-Solaris KDC ? [y/n]: n 
        No action performed. 
Do you want to use DNS for kerberos lookups ? [y/n]: n 
        No action performed. 
Enter the Kerberos realm: EXAMPLE.COM 
Specify the master KDCs for the above realm using a comma-separated
list: kdc.example.com 
Do you have any slave KDC(s) ? [y/n]: y 
Enter a comma-separated list of slave KDC host names: kdc2.example.com 
Do you have multiple domains/hosts to map to realm  ? EXAMPLE.COM [y/n]: n
        No action performed.
Should the client automatically join the realm ? [y/n]: y
Enter the krb5 administrative principal to be used: download/admin
Password for download/admin: xxxxxxxx
Do you plan on doing Kerberized nfs ? [y/n]: n 
        No action performed.   
Is this client a member of a cluster that uses a logical host name ? [y/n]: n
        No action performed. 
Do you have multiple DNS domains spanning the Kerberos realm EXAMPLE.COM ? [y/n]: n
        No action performed.
Setting up /root/krb-sc.xml.
使用例 8-32  Kerberos クライアントのデプロイ中の新しい鍵の作成

自動登録の使用は、KDC が Solaris KDC または MS AD のいずれかの場合にのみ機能することに注意してください。KDC が MIT、Heimdal、または Shishi の場合、事前生成された keytab 転送のみが可能です。

自動登録を使用して新しい鍵をダウンロードするには、KDC 上で ac、および i 管理者権限を使用して admin プリンシパルを作成しておく必要があります。この例では、プリンシパルの名前は create/admin です。手順については、Oracle Solaris 11.2 での Kerberos およびその他の認証サービスの管理 の新しい Kerberos 主体の作成およびOracle Solaris 11.2 での Kerberos およびその他の認証サービスの管理 の主体の Kerberos 管理権限の変更を参照してください。

この例で、KDC は Oracle Solaris を実行しています。この例では、Kerberos 構成ファイルのシステム構成プロファイルを作成するときに create/admin プリンシパルを追加します。create/admin プリンシパルは、Kerberos クライアントがデプロイされるときに KDC サーバーから既存の鍵を転送するために使用される特殊な admin プリンシパルです。このコマンドには多くのオプションが含まれているため、問われる質問の数は少なくなっています。

# kclient -x /root/krb-sc.xml -R EXAMPLE.COM -a create/admin -d none -m kdc.example.com	
Starting client setup 
--------------------------------------------------- 
Do you have multiple domains/hosts to map to realm  ? EXAMPLE.COM [y/n]: n
        No action performed.
Should the client automatically join the realm ? [y/n]: y
Password for create/admin: xxxxxxxx
Setting up /root/krb-sc.xml.
使用例 8-33  MS AD ドメインへの AI クライアントの自動参加

この例では、クライアントが AD ドメインに参加します。Kerberos 構成ファイルのシステム構成プロファイルを作成するときに Adminstrator プリンシパルを追加するには、次のコマンドを使用します。

# kclient -x /root/krb-sc.xml	
Starting client setup 
--------------------------------------------------- 
Is this a client of a non-Solaris KDC ? [y/n]: y 
Which type of KDC is the server: 
        ms_ad: Microsoft Active Directory 
        mit: MIT KDC server 
        heimdal: Heimdal KDC server 
        shishi: Shishi KDC server 
Enter required KDC type: ms_ad 
Should the client automatically join AD domain ? [y/n]: y
Enter the Kerberos realm: EXAMPLE.COM 
Enter the krb5 administrative principal to be used: Administrator
Password for Administrator: xxxxxxxx
Setting up /root/krb-sc.xml.
Copyright © 2011, 2014, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ