この手順では、次の構成パラメータを使用します。
アプリケーションサーバー = boston
admin 主体 = kws/admin
DNS ドメイン名 = example.com
レルム名 = EXAMPLE.COM
始める前に
マスター KDC が構成され、KDC と Kerberos クライアントのクロックの同期化の説明どおりにクロックが同期されていることを確認します。処理を十分にテストするには、複数のクライアントが必要です。
アプリケーションサーバー上で root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
次のコマンドは、ホスト主体の存在有無を報告します。
boston # klist -k | grep host 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM 4 host/boston.example.com@EXAMPLE.COM
このコマンドが主体を返した場合は、完了です。主体が返されなかった場合は、次の手順を使用して新しい主体を作成します。
boston # /usr/sbin/kadmin -p kws/admin Enter password: xxxxxxxx kadmin:
kadmin: addprinc -randkey host/boston.example.com Principal "host/boston.example.com" created. kadmin:
host 主体は、次のように使用されます。
rsh や ssh などのリモートコマンドを使用しているときにトラフィックを認証します。
pam_krb5 により、host 主体を使用してユーザーの Kerberos 資格が信頼できる KDC から取得されたことを確認し、KDC へのなりすまし攻撃を防ぎます。
root ユーザーが root 主体の存在なしで Kerberos 資格を自動的に取得できるようにします。この機能は、共有が Kerberos 資格を必要とする場合に手動の NFS マウントを実行するときに役立つことがあります。
リモートアプリケーションを使用するトラフィックに Kerberos サービスによる認証が必要な場合は、この主体が必要です。サーバーに複数のホスト名が関連付けられている場合は、ホスト名の FQDN 形式を使用して、ホスト名ごとに主体を作成します。
kadmin コマンドが実行中でない場合は、次のようなコマンドでリブートします。/usr/sbin/kadmin -p kws/admin
サーバーに複数のホスト名が関連付けられている場合は、ホスト名ごとに主体を keytab に追加します。
kadmin: ktadd host/boston.example.com Entry for principal host/boston.example.com with kvno 3, encryption type AES-256 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type AES-128 CTS mode with 96-bit SHA-1 HMAC added to keytab WRFILE:/etc/krb5/krb5.keytab. Entry for principal host/boston.example.com with kvno 3, encryption type Triple DES cbc mode with HMAC/sha1 added to keytab WRFILE:/etc/krb5/krb5.keytab. kadmin: quit