この手順では、kclient インストールユーティリティーをインストールプロファイルなしで使用します。このクライアントを Active Directory サーバーに参加させる場合は、Kerberos クライアントを Active Directory サーバーに参加させる方法に進みます。
始める前に
root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
client# /usr/sbin/kclient
このスクリプトによって、次の情報の入力を求められます。
Kerberos レルム名
KDC マスターホスト名
KDC スレーブホスト名
ローカルレルムにマップするドメイン
Kerberos 認証に使用する PAM サービス名およびオプション
詳細は、kclient(1M) のマニュアルページを参照してください。
使用可能なサーバーのリストについては、kclient(1M) のマニュアルページの –T オプションを参照してください。
有効なオプションは、–dns_lookup_kdc、–dns_lookup_realm、および –dns_fallback です。これらの値の詳細は、krb5.conf(4) のマニュアルページを参照してください。
この情報は、/etc/krb5/krb5.conf 構成ファイルに追加されます。
この情報は、クライアントの構成ファイルに追加の KDC エントリを作成するために使用されます。
通常、クライアントシステムが Kerberos サービスをホストしていないかぎり、サービス鍵またはホスト鍵は必要ありません。
この論理ホスト名はサービス鍵の作成時に使用されます。これは、クラスタから Kerberos サービスをホストするときに必要です。
このマッピングにより、ほかのドメインをそのクライアントのデフォルトレルムに含めることができます。
クライアントが Kerberos を使用して NFS サービスをホストする場合は、NFS サービス鍵を作成する必要があります。
どの PAM サービスが認証に Kerberos を使用するかを設定するには、サービス名と Kerberos 認証の使用方法を示すフラグを指定します。有効なフラグオプションは次のとおりです。
first – 最初に Kerberos 認証を使用し、Kerberos 認証が失敗した場合にのみ UNIX を使用します
only – Kerberos 認証のみを使用します
optional – オプションで、Kerberos 認証を使用します
Kerberos のために提供される PAM サービスについては、/etc/security/pam_policy 内のファイルを確認してください。
このオプションにより、kclient の引数が十分でないときに特定の構成情報を使用できるようになります。
... Starting client setup --------------------------------------------------- Is this a client of a non-Solaris KDC ? [y/n]: n No action performed. Do you want to use DNS for kerberos lookups ? [y/n]: n No action performed. Enter the Kerberos realm: EXAMPLE.COM Specify the KDC host name for the above realm: kdc1.example.com Note, this system and the KDC's time must be within 5 minutes of each other for Kerberos to function. Both systems should run some form of time synchronization system like Network Time Protocol (NTP). Do you have any slave KDC(s) ? [y/n]: y Enter a comma-separated list of slave KDC host names: kdc2.example.com Will this client need service keys ? [y/n]: n No action performed. Is this client a member of a cluster that uses a logical host name ? [y/n]: n No action performed. Do you have multiple domains/hosts to map to realm ? [y/n]: y Enter a comma-separated list of domain/hosts to map to the default realm: corphdqtrs.example.com, \ example.com Setting up /etc/krb5/krb5.conf. Do you plan on doing Kerberized nfs ? [y/n]: y Do you want to update /etc/pam.conf ? [y/n]: y Enter a comma-separated list of PAM service names in the following format: service:{first|only|optional}: xscreensaver:first Configuring /etc/pam.conf. Do you want to copy over the master krb5.conf file ? [y/n]: n No action performed. --------------------------------------------------- Setup COMPLETE.