この手順では、増分伝播を構成します。この手順では、次の構成パラメータを使用します。
レルム名 = EXAMPLE.COM
DNS ドメイン名 = example.com
マスター KDC = kdc1.example.com
admin 主体 = kws/admin
オンラインヘルプ URL = http://docs.oracle.com/cd/E23824_01/html/821-1456/aadmin-23.html
始める前に
ホストが DNS を使用するように構成されています。マスター KDC を入れ替え可能にする場合の手順については、マスター KDC とスレーブ KDC の入れ替えを参照してください。
root 役割になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
KDC パッケージをインストールする方法の手順に従います。
このファイルについては、krb5.conf(4) のマニュアルページを参照してください。
この例では、管理者は default_realm、kdc、admin_server、およびすべての domain_realm エントリの行を変更し、help_url エントリを編集します。
kdc1 # pfedit /etc/krb5/krb5.conf
...
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = kdc1.example.com
admin_server = kdc1.example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
#
# if the domain name and realm name are equivalent,
# this entry is not needed
#
[logging]
default = FILE:/var/krb5/kdc.log
kdc = FILE:/var/krb5/kdc.log
[appdefaults]
gkadmin = {
help_url = http://docs.oracle.com/cd/E23824_01/html/821-1456/aadmin-23.html
}
このファイルについては、kdc.conf(4) のマニュアルページを参照してください。
この例では、管理者はレルム名の定義に加えて、増分伝播とロギングのデフォルト値を変更します。
kdc1 # pfedit /etc/krb5/kdc.conf
[kdcdefaults]
kdc_ports = 88,750
[realms]
EXAMPLE.COM = {
profile = /etc/krb5/krb5.conf
database_name = /var/krb5/principal
acl_file = /etc/krb5/kadm5.acl
kadmind_port = 749
max_life = 8h 0m 0s
max_renewable_life = 7d 0h 0m 0s
sunw_dbprop_enable = true
sunw_dbprop_master_ulogsize = 1000
}
kdb5_util コマンドは、KDC データベースを作成します。–s オプションを指定すると、kadmind と krb5kdc デーモンが起動する前に、KDC の認証に使用される stash ファイルが作成されます。詳細は、kdb5_util(1M)、kadmind(1M)、および krb5kdc(1M) のマニュアルページを参照してください。
kdc1 # /usr/sbin/kdb5_util create -s Initializing database '/var/krb5/principal' for realm 'EXAMPLE.COM' master key name 'K/M@EXAMPLE.COM' You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter KDC database master key:/** Type strong password **/ Re-enter KDC database master key to verify: xxxxxxxx
# getent hosts IP-address-of-KDC IP-address-of-KDC kdc/** This entry does not include FQDN **/次に、その FQDN を /etc/hosts ファイル内の最初の KDC のエントリとして追加します。次に例を示します。
IP-address-of-KDC kdc.kdc-principal.example.com kdc
生成されたあと、/etc/krb5/kadm5.acl ファイルには、KDC を管理することを許可されたすべての主体名が含まれている必要があります。
kws/admin@EXAMPLE.COM *
前のエントリにより、EXAMPLE.COM レルム内の kws/admin 主体は KDC 内の主体やポリシーを変更できるようになります。デフォルトの主体エントリはアスタリスク (*) です。これは、すべての admin 主体に一致します。このエントリはセキュリティーリスクになる場合があります。すべての admin 主体とその権利を明示的に記載するように、このファイルを変更してください。詳細は、kadm5.acl(4) のマニュアルページを参照してください。
必要な数の admin 主体を追加できます。KDC 構成処理を完了するには、1 つ以上の admin 主体を追加する必要があります。この例では、kws/admin 主体を追加します。「kws」の代わりに、適切な主体名で置き換えることができます。
kadmin.local: addprinc kws/admin Enter password for principal kws/admin@EXAMPLE.COM:/** Type strong password **/ Re-enter password for principal kws/admin@EXAMPLE.COM: xxxxxxxx Principal "kws/admin@EXAMPLE.COM" created. kadmin.local:
詳細は、kadmin(1M) のマニュアルページを参照してください。
kdc1 # svcadm enable -r network/security/krb5kdc kdc1 # svcadm enable -r network/security/kadmin
kdc1 # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
ホスト主体は、変更をスレーブ KDC に伝播するために、kprop などの Kerberos アプリケーションによって使用されます。この主体はまた、ssh などのネットワークアプリケーションを使用して KDC サーバーにセキュアなリモートアクセスを提供するためにも使用されます。主体のインスタンスがホスト名である場合、FQDN は、ネームサービスでのドメイン名の大文字小文字には関係なく小文字で指定する必要があることに注意してください。
kadmin: addprinc -randkey host/kdc1.example.com Principal "host/kdc1.example.com@EXAMPLE.COM" created. kadmin:
この主体は、Kerberos クライアントのインストール中に kclient ユーティリティーで使用されます。このユーティリティーを使用しない場合は、主体に追加する必要はありません。kclient ユーティリティーのユーザーは、このパスワードを使用する必要があります。詳細は、kclient(1M) のマニュアルページを参照してください。
kadmin: addprinc clntconfig/admin Enter password for principal clntconfig/admin@EXAMPLE.COM:/** Type strong password **/ Re-enter password for principal clntconfig/admin@EXAMPLE.COM: xxxxxxxx Principal "clntconfig/admin@EXAMPLE.COM" created. kadmin:
kadm5.acl ファイルを編集して、clntconfig 主体に kclient インストールタスクを実行するための十分な権限を付与します。
# pfedit /etc/krb5/kadm5.acl ... clntconfig/admin@EXAMPLE.COM acdilm
keytab ファイルにホスト主体を追加すると、自動的に、sshd などのアプリケーションサーバーがこの主体を使用できるようになります。
kadmin: ktadd host/kdc1.example.com Entry for principal host/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/kdc1.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
kadmin: quit
認証が成功するには、すべてのクロックが、krb5.conf ファイルの libdefaults セクションで定義されているデフォルトの時間内に収まっている必要があります。詳細は、krb5.conf(4) のマニュアルページを参照してください。Network Time Protocol (NTP) については、KDC と Kerberos クライアントのクロックの同期化を参照してください。
冗長性を提供するには、スレーブ KDC を必ず 1 つ以上インストールするようにしてください。kdcmgr を使用してスレーブ KDC を構成する方法または スレーブ KDC を手動で構成する方法の手順に従います。