Kerberos サービスは、GSS 資格名から UNIX ユーザー ID (UID) へのマッピングを、NFS などこのマッピングを必要とする GSS アプリケーションのために提供します。GSS 資格名は Kerberos サービスを使用する場合の Kerberos 主体名と等価です。また、デフォルトの Kerberos レルム内に有効なユーザーアカウントを持っていない UNIX ユーザーを、PAM フレームワークを使用して自動的に移行できます。
デフォルトのマッピングアルゴリズムでは、Kerberos 主体のプライマリ名を使用して UID を検索します。この検索は、デフォルトレルムか、または /etc/krb5/krb5.conf ファイル内の auth_to_local_realm パラメータによって許可された任意のレルム内で実行されます。たとえば、ユーザー主体名 jdoe@EXAMPLE.COM は、パスワードテーブルを使用して jdoe という名前の UNIX ユーザーの UID にマップされます。ユーザー主体名 jdoe/admin@EXAMPLE.COM は、admin というインスタンスコンポーネントが含まれているため、マップされません。
ユーザー資格のデフォルトマッピングが十分な場合、GSS 資格テーブルにデータを入れておく必要がありません。インスタンスコンポーネントを含む主体名をマップする場合など、デフォルトのマッピングが十分でない場合は、ほかの方法が必要です。詳細については、次を参照してください。
デフォルトのマッピングでは十分でないとき、NFS サーバーは gsscred テーブルを使用して、Kerberos ユーザーを識別します。NFS サービスは、UNIX UID を使用してユーザーを識別します。UNIX ID は、ユーザー主体または資格には含まれません。gsscred テーブルによって、GSS 資格からパスワードファイルの UNIX UID への追加のマッピングが可能になります。このテーブルは、KDC データベースを生成したあとに作成および開始する必要があります。
クライアントリクエストが到着すると、NFS サービスは、資格名を UNIX UID にマップしようとします。このマッピングに失敗した場合、gsscred テーブルが確認されます。
デフォルトの Kerberos レルム内に有効なユーザーアカウントを持っていない UNIX ユーザーを、PAM フレームワークを使用して自動的に移行できます。具体的には、pam_krb5_migrate.so モジュールを PAM サービスの認証スタックに追加します。それによってサービスが構成され、Kerberos 主体を持っていないユーザーがシステムへのパスワードログインに成功した場合は常に、そのユーザーに対して Kerberos 主体が自動的に作成されるようになります。その場合、新しい主体パスワードは UNIX パスワードと同じになります。pam_krb5_migrate.so モジュールの使用については、Kerberos レルム内のユーザーを自動的に移行するように構成する方法を参照してください。