この手順では、クライアントの keytab ファイルはすでに AI サーバーで作成および格納されています。この例では、既存の資格を使用するか、新しいプリンシパルを使用することによって Kerberos クライアントを構成する、自動登録を使用します。自動登録プロセスは、個々のクライアント用に keytab ファイルを作成してエンコードする必要がないため簡単です。
詳細は、How to Use Your Assigned Administrative Rights in Oracle Solaris 11.2 Administration: Security Servicesを参照してください。
# installadm create-service -n krb-sparc \ -d /export/auto_install/krb-sparc \ -s /export/auto_install/iso/sol-11_2-ai-sparc.iso Creating service from: /export/auto_install/iso/sol-11_2-ai-sparc.iso Setting up the image ... Creating sparc service: krb-sparc Image path: /export/auto_install/krb-sparc Refreshing install services
Kerberos が動作しているインストールする必要があるすべてのクライアントに対して、この手順を繰り返します。この例では、11:11:11:11:11:11 アドレスを使用中のクライアントが、krb-sparc インストールサービスに関連付けられます。
# installadm create-client -n krb-sparc -e 11:11:11:11:11:11 Adding host entry for 11:11:11:11:11:11 to local DHCP configuration.
# installadm set-client -c 11:11:11:11:11:11 -g Generating credentials for client 11:11:11:11:11:11... A new certificate key has been generated. A new certificate has been generated.
この例では、kclient コマンドを対話的に実行してプロファイルを作成します。あるいは、コマンド行オプションを使用するか入力プロファイルを使用するコマンドを呼び出すことができます。詳細は、kclient(1M) のマニュアルページを参照してください。
この例では、KDC は MIT サーバー上で実行されています。Solaris KDC の出力例を見るには、Example 8–31 を参照してください。AD クライアントの出力例を見るには、Example 8–33 を参照してください。
# kclient -x /root/krb-sc.xml Starting client setup --------------------------------------------------- Is this a client of a non-Solaris KDC ? [y/n]: y Which type of KDC is the server: ms_ad: Microsoft Active Directory mit: MIT KDC server heimdal: Heimdal KDC server shishi: Shishi KDC server Enter required KDC type: mit Do you want to use DNS for kerberos lookups ? [y/n]: n No action performed. Enter the Kerberos realm: EXAMPLE.COM Specify the master KDCs for the above realm using a comma-separated list: kdc.example.com Do you have any slave KDC(s) ? [y/n]: y Enter a comma-separated list of slave KDC host names: kdc2.example.com Do you have multiple domains/hosts to map to a realm ? [y/n]: n No action performed. Setting up /root/krb-sc.xml.
自動登録によって鍵を取得できるか、クライアントに鍵がない場合、この手順は不要です。クライアントに keytab ファイルを作成する必要がありますが、これは通常、クライアントが最初に構成されるときに KDC 管理者によって実行されます。
# kclient-kt2prof -k ./host1.keytab -p /root/host1.xml
この手順ではプロファイルを使用する必要があるため、システム構成プロファイルを使用して可能なかぎりクライアントを構成します。
クライアントプロファイルが keytab を含む場合、require-client-auth セキュリティーポリシーをサービスに割り当てることで、認証済みクライアントのみが keytab ファイルをダウンロードできるようにする必要があります。
# installadm set-service -p require-client-auth -n krb-sparc
Kerberos 構成ファイルとクライアント keytab ファイルのプロファイル、および作成したほかのすべてのプロファイルをインストールサービスに関連付けます。
# installadm create-profile -n krb-sparc -f /root/krb-sc.xml Profile krb-sc.xml added to database. # installadm create-profile -n krb-sparc -f /root/host1.xml -c mac="11:11:11:11:11:11" Profile host1.xml added to database.
自動登録の使用は、KDC が Solaris KDC または MS AD のいずれかの場合にのみ機能することに注意してください。KDC が MIT、Heimdal、または Shishi の場合、事前生成された keytab 転送のみが可能です。
自動登録を使用して既存の鍵をダウンロードするには、KDC 上で c および i 管理者権限を使用して admin プリンシパルを作成しておく必要があります。この例では、プリンシパルの名前は download/admin です。手順については、Oracle Solaris 11.2 での Kerberos およびその他の認証サービスの管理 の新しい Kerberos 主体の作成およびOracle Solaris 11.2 での Kerberos およびその他の認証サービスの管理 の主体の Kerberos 管理権限の変更を参照してください。
この例で、KDC は Oracle Solaris を実行しています。また、クライアントの鍵がすでに作成されています。
この例は、Kerberos 構成ファイルのシステム構成プロファイルを作成するときに download/admin プリンシパルを追加する方法を示しています。download/admin プリンシパルは、Kerberos クライアントがデプロイされるときに KDC サーバーから既存の鍵を転送するために使用される特殊な admin プリンシパルです。
# kclient -x /root/krb-sc.xml Starting client setup --------------------------------------------------- Is this a client of a non-Solaris KDC ? [y/n]: n No action performed. Do you want to use DNS for kerberos lookups ? [y/n]: n No action performed. Enter the Kerberos realm: EXAMPLE.COM Specify the master KDCs for the above realm using a comma-separated list: kdc.example.com Do you have any slave KDC(s) ? [y/n]: y Enter a comma-separated list of slave KDC host names: kdc2.example.com Do you have multiple domains/hosts to map to realm ? EXAMPLE.COM [y/n]: n No action performed. Should the client automatically join the realm ? [y/n]: y Enter the krb5 administrative principal to be used: download/admin Password for download/admin: xxxxxxxx Do you plan on doing Kerberized nfs ? [y/n]: n No action performed. Is this client a member of a cluster that uses a logical host name ? [y/n]: n No action performed. Do you have multiple DNS domains spanning the Kerberos realm EXAMPLE.COM ? [y/n]: n No action performed. Setting up /root/krb-sc.xml.使用例 8-32 Kerberos クライアントのデプロイ中の新しい鍵の作成
自動登録の使用は、KDC が Solaris KDC または MS AD のいずれかの場合にのみ機能することに注意してください。KDC が MIT、Heimdal、または Shishi の場合、事前生成された keytab 転送のみが可能です。
自動登録を使用して新しい鍵をダウンロードするには、KDC 上で a、c、および i 管理者権限を使用して admin プリンシパルを作成しておく必要があります。この例では、プリンシパルの名前は create/admin です。手順については、Oracle Solaris 11.2 での Kerberos およびその他の認証サービスの管理 の新しい Kerberos 主体の作成およびOracle Solaris 11.2 での Kerberos およびその他の認証サービスの管理 の主体の Kerberos 管理権限の変更を参照してください。
この例で、KDC は Oracle Solaris を実行しています。この例では、Kerberos 構成ファイルのシステム構成プロファイルを作成するときに create/admin プリンシパルを追加します。create/admin プリンシパルは、Kerberos クライアントがデプロイされるときに KDC サーバーから既存の鍵を転送するために使用される特殊な admin プリンシパルです。このコマンドには多くのオプションが含まれているため、問われる質問の数は少なくなっています。
# kclient -x /root/krb-sc.xml -R EXAMPLE.COM -a create/admin -d none -m kdc.example.com Starting client setup --------------------------------------------------- Do you have multiple domains/hosts to map to realm ? EXAMPLE.COM [y/n]: n No action performed. Should the client automatically join the realm ? [y/n]: y Password for create/admin: xxxxxxxx Setting up /root/krb-sc.xml.使用例 8-33 MS AD ドメインへの AI クライアントの自動参加
この例では、クライアントが AD ドメインに参加します。Kerberos 構成ファイルのシステム構成プロファイルを作成するときに Adminstrator プリンシパルを追加するには、次のコマンドを使用します。
# kclient -x /root/krb-sc.xml Starting client setup --------------------------------------------------- Is this a client of a non-Solaris KDC ? [y/n]: y Which type of KDC is the server: ms_ad: Microsoft Active Directory mit: MIT KDC server heimdal: Heimdal KDC server shishi: Shishi KDC server Enter required KDC type: ms_ad Should the client automatically join AD domain ? [y/n]: y Enter the Kerberos realm: EXAMPLE.COM Enter the krb5 administrative principal to be used: Administrator Password for Administrator: xxxxxxxx Setting up /root/krb-sc.xml.