この手順では、増分伝播を構成します。この手順では、次の構成パラメータを使用します。
レルム名 = EXAMPLE.COM
DNS ドメイン名 = example.com
マスター KDC = kdc1.example.com
admin 主体 = kws/admin
始める前に
ホストが DNS を使用するように構成されています。マスター KDC を入れ替え可能にする場合の手順については、マスター KDC とスレーブ KDC の入れ替えを参照してください。
root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
KDC パッケージをインストールする方法の手順に従います。
FIPS 140-2 モードでレルムを実行する予定の場合は、マスター KDC サーバーを構成する際に、暗号化タイプを指定します。FIPS 140-2 モードで実行するように Kerberos を構成する方法を参照してください。
このファイルについては、krb5.conf(4) のマニュアルページを参照してください。
この例では、管理者は default_realm、kdc、admin_server、およびすべての domain_realm エントリの行を変更し、help_url エントリを編集します。
kdc1# pfedit /etc/krb5/krb5.conf ... [libdefaults] default_realm = EXAMPLE.COM [realms] EXAMPLE.COM = { kdc = kdc1.example.com admin_server = kdc1.example.com } [domain_realm] .example.com = EXAMPLE.COM # # if the domain name and realm name are equivalent, # this entry is not needed # [logging] default = FILE:/var/krb5/kdc.log kdc = FILE:/var/krb5/kdc.log
このファイルについては、kdc.conf(4) のマニュアルページを参照してください。
この例では、管理者はレルム名の定義に加えて、増分伝播とロギングのデフォルト値を変更します。
kdc1# pfedit /etc/krb5/kdc.conf [kdcdefaults] kdc_ports = 88,750 [realms] EXAMPLE.COM = { profile = /etc/krb5/krb5.conf database_name = /var/krb5/principal acl_file = /etc/krb5/kadm5.acl kadmind_port = 749 max_life = 8h 0m 0s max_renewable_life = 7d 0h 0m 0s sunw_dbprop_enable = true sunw_dbprop_master_ulogsize = 1000 }
kdb5_util コマンドは、KDC データベースを作成します。–s オプションを指定すると、kadmind と krb5kdc デーモンが起動する前に、KDC の認証に使用される stash ファイルが作成されます。詳細は、kdb5_util(1M)、kadmind(1M)、および krb5kdc(1M) のマニュアルページを参照してください。
kdc1# /usr/sbin/kdb5_util create -s
Initializing database '/var/krb5/principal' for realm 'EXAMPLE.COM'
master key name 'K/M@EXAMPLE.COM'
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
Enter KDC database master key:/** Type strong password **/
Re-enter KDC database master key to verify: xxxxxxxx
# getent hosts IP-address-of-KDC
IP-address-of-KDC kdc/** This entry does not include FQDN **/
次に、その FQDN を /etc/hosts ファイル内の最初の KDC のエントリとして追加します。次に例を示します。
10.1.2.3 kdc1.example.com kdc
必要な数の admin 主体を追加できます。KDC 構成処理を完了するには、1 つ以上の admin 主体を追加する必要があります。この例では、kws/admin 主体を追加します。「kws」の代わりに、適切な主体名で置き換えることができます。
kadmin.local: addprinc kws/admin
Enter password
for principal kws/admin@EXAMPLE.COM:/** Type strong password **/
Re-enter password
for principal kws/admin@EXAMPLE.COM: xxxxxxxx
Principal "kws/admin@EXAMPLE.COM" created.
kadmin.local:
詳細は、kadmin(1M) のマニュアルページを参照してください。
生成されたあと、/etc/krb5/kadm5.acl ファイルには、KDC を管理することを許可されたすべての主体名が含まれている必要があります。
kws/admin@EXAMPLE.COM *
前のエントリにより、EXAMPLE.COM レルム内の kws/admin 主体は KDC 内の主体やポリシーを変更できるようになります。デフォルトの主体エントリはアスタリスク (*) です。これは、すべての admin 主体に一致します。このエントリはセキュリティーリスクになる場合があります。すべての admin 主体とその権利を明示的に記載するように、このファイルを変更してください。詳細は、kadm5.acl(4) のマニュアルページを参照してください。
kdc1# svcadm enable -r network/security/krb5kdc kdc1# svcadm enable -r network/security/kadmin
kdc1# /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
ホスト主体は、変更をスレーブ KDC に伝播するために、kprop などの Kerberos アプリケーションによって使用されます。この主体はまた、ssh などのネットワークアプリケーションを使用して KDC サーバーにセキュアなリモートアクセスを提供するためにも使用されます。主体のインスタンスがホスト名である場合、FQDN は、ネームサービスでのドメイン名の大文字小文字には関係なく小文字で指定する必要があることに注意してください。
kadmin: addprinc -randkey host/kdc1.example.com Principal "host/kdc1.example.com@EXAMPLE.COM" created. kadmin:
keytab ファイルにホスト主体を追加すると、自動的に、sshd などのアプリケーションサーバーがこの主体を使用できるようになります。
kadmin: ktadd host/kdc1.example.com Entry for principal host/kdc1.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/kdc1.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/kdc1.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin:
この主体は、Kerberos クライアントのインストール中に kclient ユーティリティーで使用されます。このユーティリティーを使用しない場合は、主体に追加する必要はありません。kclient ユーティリティーのユーザーは、このパスワードを使用する必要があります。
kadmin: addprinc clntconfig/admin
Enter password for principal clntconfig/admin@EXAMPLE.COM:/** Type strong password **/
Re-enter password for principal clntconfig/admin@EXAMPLE.COM: xxxxxxxx
Principal "clntconfig/admin@EXAMPLE.COM" created.
kadmin: quit
# pfedit /etc/krb5/kadm5.acl ... clntconfig/admin@EXAMPLE.COM acdilm
詳細は、kclient(1M) のマニュアルページを参照してください。
認証が成功するには、すべてのクロックが、krb5.conf ファイルの libdefaults セクションで定義されているデフォルトの時間内に収まっている必要があります。詳細は、krb5.conf(4) のマニュアルページおよびKDC と Kerberos クライアントのクロックの同期化を参照してください。
冗長性を提供するには、別の KDC を 1 つ以上インストールします。マルチマスター構成では、セカンダリ KDC をスレーブ KDC または追加のマスター KDC にすることができます。
スレーブ KDC を作成する手順については、kdcmgr を使用してスレーブ KDC を構成する方法またはスレーブ KDC を手動で構成する方法を参照してください。
2 番目のマスター KDC を作成する手順については、2 番目のマスター KDC を手動で構成する方法を参照してください。
LDAP 構成で 2 番目のマスター KDC を作成する手順については、OpenLDAP クライアントの Oracle DSEE LDAP ディレクトリサーバー上でマスター KDC を構成する方法を参照してください。