Kerberos クライアントは、自動的にインストールすることも、スクリプトからインストールすることも、構成ファイルを編集することによって手動で構成することもできます。保護されたネットワークログインのために、PAM フレームワークには pam_ldap モジュールが用意されています。pam_ldap(5) のマニュアルページを参照してください。また、クライアントがサービスをリクエストする場合は、そのサービスをマスター KDC 以外のサーバーが許可することもできます。
Kerberos クライアントは、Oracle Solaris Automated Installer (AI) 機能を使用して、迅速かつ容易に構成できます。AI サーバー管理者は、Kerberos 構成プロファイルを作成して AI クライアントに割り当てます。さらに、AI サーバーはクライアント鍵を配信します。そのため、Kerberos クライアントは、インストール時に、セキュアなサービスをホストできる完全にプロビジョニングされた Kerberos システムになります。Automated Installer の使用によって、システム管理や保守のコストを削減できます。
kclient コマンドを使用すると、あらゆるタイプの KDC のクライアントのための自動インストールを作成できます。
Oracle Solaris KDC のクライアントではないクライアントのために AI を使用できます。KDC ベンダーのリストについては、kclient(1M) のマニュアルページを参照してください。
すべての KDC タイプに対して、事前に生成された keytab の転送がサポートされます。また、Oracle Solaris KDC と MS AD では自動登録もサポートされます。
AI のための Kerberos 構成プロファイルを作成するには、kclient コマンドを実行します。詳細は、kclient(1M) のマニュアルページおよびKerberos クライアントの構成オプションを参照してください。AI を使用して Kerberos クライアントを構成する手順については、Oracle Solaris 11.3 システムのインストール の AI を使用して Kerberos クライアントを構成する方法を参照してください。
Kerberos クライアントは、kclient 構成ユーティリティーを使用するか、またはファイルを手動で編集することによって構成できます。このユーティリティーは、対話型モードおよび非対話型モードで動作します。対話型モードでは、Kerberos 固有のパラメータ値の入力を求められるため、クライアントの構成時に変更を行うことができます。非対話型モードでは、パラメータ値を含むファイルを指定します。また、非対話型モードでコマンド行オプションを追加することもできます。対話型モードでも非対話型モードでも必要とする手順は手動構成より少ないため、手順が迅速になるとともに、エラーも発生しにくくなります。
次の設定が有効な場合は、Kerberos クライアントの明示的な構成がまったく必要なくなります。
DNS が、KDC 用の SRV レコードを返すように構成されている。
レルム名が DNS ドメイン名に一致するか、または KDC がリフェラルをサポートする。
Kerberos クライアントが KDC サーバーの鍵とは異なる鍵を必要としない。
次の理由により、Kerberos クライアントの明示的な構成が引き続き必要になる場合があります。
構成不要のプロセスは、直接構成されるクライアントに比べて多くの DNS 検索を実行するため、直接の構成より効率が低下します。
リフェラルが使用されていない場合、構成不要のロジックは、レルムを決定するためにホストの DNS ドメイン名に依存します。この構成では若干のセキュリティーリスクが導入されますが、このリスクは dns_lookup_realm を有効にするよりはるかに軽微です。
pam_krb5 モジュールは、キータブファイル内のホスト鍵のエントリに依存します。この要件は krb5.conf ファイルで無効にすることができますが、セキュリティー上の理由からそれはお勧めできません。詳細は、Kerberos クライアントログインのセキュリティーおよび krb5.conf(4) のマニュアルページを参照してください。
クライアント構成の詳細は、Kerberos クライアントの構成を参照してください。
ログイン時に、クライアントは pam_krb5 モジュールを使用して、最新の TGT を発行した KDC が /etc/krb5/krb5.keytab ファイル内に格納されているクライアントのホスト主体を発行した KDC と同じであることを確認します。pam_krb5 モジュールは、認証スタックで構成されるときに KDC を確認します。クライアントのホスト主体を格納しない DHCP クライアントなどの一部の構成では、このチェックを無効にする必要があります。このチェックを無効にするには、krb5.conf ファイル内の –verify_ap_req_nofail オプションを false に設定する必要があります。詳細は、チケット認可チケットの確認の無効化を参照してください。
一部のアプリケーションでは、クライアントが、ほかのサービスへの接続時にそれに代わって動作するサーバーに権限を委託することが必要な場合があります。そのクライアントは、中間サーバーに資格を転送する必要があります。サーバーへのサービスチケットを取得するクライアントの機能では、委任された資格の受け入れについてサーバーを信頼できるかどうかに関する情報がクライアントに伝達されません。kadmin コマンドの –ok_to_auth_as_delegate オプションは、中間サーバーにそのような資格の受け入れを信頼して任せられるかどうかに関するローカルレルムポリシーを KDC からクライアントに送る方法を提供します。
クライアントへの KDC 応答の暗号化された部分には、–ok_to_auth_as_delegate オプションが設定された資格チケットフラグのコピーを含めることができます。クライアントは、この設定を使用して、このサーバーに (プロキシまたは転送された TGT のどちらかを付与することによって) 資格を委任するかどうかを判定できます。このオプションを設定する場合は、そのサービスで委任された資格の使用が必要かどうかだけでなく、そのサービスが実行されるサーバーのセキュリティーや配置についても考慮してください。