KDC サーバーの構成

Kerberos ソフトウェアをインストールしたら、鍵配布センター (KDC) サーバーを構成する必要があります。マスター KDC と少なくとも 1 つのスレーブ KDC を構成することによって、資格を発行するサービスが提供されます。これらの資格は Kerberos サービスの基盤であるため、ほかのタスクを試行する前に KDC を構成しておく必要があります。

マスター KDC とスレーブ KDC のもっとも大きな違いは、マスター KDC だけがデータベース管理リクエストを処理できることです。たとえば、パスワードの変更や新しい主体の追加は、マスター KDC で行います。これらの変更は、スレーブ KDC に伝播されます。資格の生成は、スレーブ KDC とマスター KDC が行います。スレーブ KDC は、マスター KDC が応答できない場合の冗長性を提供します。

マスター KDC サーバー、データベース、および追加のサーバーを構成および構築するには、次のさまざまな方法を選択できます。

• 自動 – スクリプトに推奨されます

• 対話型 – ほとんどのインストールにはこれで十分です

• 手動 – より複雑なインストールに必要です

• LDAP を使用した手動 – KDC で LDAP を使用する場合に必要です

表 4-3  KDC サーバーの構成のタスクマップ

タスク 説明 参照先 KDC パッケージをインストールします。 KDC を作成するために必要なパッケージ。 KDC パッケージをインストールする方法 (オプション) FIPS 140 モードで実行するように Kerberos を構成します。 FIPS 140 検証済みアルゴリズムの使用のみを有効にします。 FIPS 140 モードで実行するように Kerberos を構成する方法 スクリプトを使用してマスター KDC を構成します。 初期構成を簡略化します。 kdcmgr を使用してマスター KDC を構成する方法 Example 4–1 スクリプトを使用してスレーブ KDC サーバーを構成します。 初期構成を簡略化します。 kdcmgr を使用してスレーブ KDC を構成する方法 マスター KDC サーバーを手動で構成します。 初期インストール中に KDC 構成ファイル内のすべてのエントリを制御できます。 マスター KDC を手動で構成する方法 スレーブ KDC サーバーを手動で構成します。 初期インストール中に KDC 構成ファイル内のすべてのエントリを制御できます。 スレーブ KDC を手動で構成する方法 LDAP を使用するようにマスター KDC を手動で構成します。 LDAP を使用するようにマスター KDC サーバーを構成します。 LDAP ディレクトリサーバーを使用するようにマスター KDC を構成する方法 KDC サーバー上の主体鍵を置き換えます。 より強力な暗号化タイプを使用するために、レガシー KDC サーバー上のセッション鍵を更新します。 マスターサーバー上のチケット認可サービス鍵の置き換え