この手順では、次のパラメータを使用して、kdc2 という名前の 2 番目のマスター KDC を構成します。
レルム名 = EXAMPLE.COM
DNS ドメイン名 = example.com
マスター KDC = kdc1.example.com
kdc1 の admin 主体 = kws/admin
kdc1 の LDAP サーバー = dsserver.example.com
2 番目のマスター KDC と LDAP サーバー = kdc2.example.com
kdc2 の admin 主体 = tester/admin
新しい 2 番目のマスター KDC 上で、この手順のコマンドをすべて実行します。
始める前に
マスター KDC が構成されていることを確認してください。
KDC サーバー上で root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
このファイルについては、krb5.conf(4) のマニュアルページを参照してください。次の例では、Oracle Directory Server Enterprise Edition サーバーを構成することを想定してします。
kdc2# pfedit /etc/krb5/krb5.conf . . [realms] EXAMPLE.COM = { kdc = kdc1.example.com kdc = kdc2.example.com admin_server = kdc2.example.com admin_server = kdc1.example.com database_module = LDAP } [dbmodules] LDAP = { db_library =kldap ldap_kerberos_container_dn = "cn=krbcontainer,dc=example,dc=com" ldap_kdc_dn = "cn=kdc service,ou=profile,dc=example,dc=com" ldap_kadmind_dn = "cn=kadmin service,ou=profile,dc=example,dc=com" ldap_cert_path = /var/ldap ldap_servers = ldaps://kdc2.example.com ldaps://dsserver.example.com } ...
2 番目のマスター KDC 上では、kadmin サービスにも LDAP バインディング用の stash ファイルが存在する必要があります。
kdc2# kdb5_ldap_util stashsrvpw "cn=kdc service,ou=profile,dc=example,dc=com" kdc2# kdb5_ldap_util stashsrvpw "cn=kadmin service,ou=profile,dc=example,dc=com"
kdc2# kdb5_util stash kdb5_util: Cannot find/read stored master key while reading master key kdb5_util: Warning: proceeding without master key Enter KDC database master key: xxxxxxxx
詳細は、kdb5_util(1M) のマニュアルページを参照してください。
# pfedit /etc/krb5/kdc.conf ... [realms] EXAMPLE.COM = { profile = /etc/krb5/krb5.conf ...
通常、kdb5_ldap_util コマンドは KDC の管理主体を作成します。ただし、これらの主体の大部分は、1 番目のマスター KDC を作成したときに作成されています。この手順では、kadmin および changepw は 2 番目のマスター KDC 専用の主体です。
# kadmin -p tester/admin kadmin: addprinc -randkey kadmin/kdc2.example.com kadmin: addprinc -randkey changepw/kdc2.example.com
認証が成功するには、すべてのクロックが、krb5.conf ファイルの libdefaults セクションで定義されているデフォルトの時間内に収まっている必要があります。詳細は、krb5.conf(4) のマニュアルページおよびKDC と Kerberos クライアントのクロックの同期化を参照してください。
kdc1# svcadm enable -r network/security/krb5kdc kdc1# svcadm enable -r network/security/kadmin