audit_remote プラグインは、バイナリの監査トレールを、audit_binfile プラグインがローカル監査ファイルに書き込むのと同じ形式で ARS に送信します。audit_remote プラグインは、libgss ライブラリを使用して ARS を認証し、GSS-API メカニズムを使用してプライバシと完全性により転送を保護します。参照情報については、Oracle Solaris 11.3 での Kerberos およびその他の認証サービスの管理 の Kerberos サービスとはおよびOracle Solaris 11.3 での Kerberos およびその他の認証サービスの管理 の Kerberos ユーティリティーを参照してください。
現在サポートされている GSS-API メカニズムは kerberosv5 だけです。詳細は、mech(4) のマニュアルページを参照してください。
Kerberos レルムが構成されているかどうかを確認するには、次のコマンドを発行します。サンプル出力は、システム上に Kerberos がインストールされていないことを示しています。
# pkg info system/security/kerberos-5 pkg: info: no packages matching these patterns are installed on the system.
始める前に
この手順では、audit_remote プラグインを使用することが前提となっています。
ARS として機能するシステムを使用するか、または近くのシステムを使用できます。ARS は、大量の認証トラフィックをマスター KDC に送信します。
# pkg install pkg:/system/security/kerberos-5
マスター KDC 上では、Kerberos kdcmgr および kadmin コマンドを使用してレルムを管理します。詳細は、kdcmgr(1M) および kadmin(1M) のマニュアルページを参照してください。
# pkg install pkg:/system/security/kerberos-5
このパッケージには kclient コマンドが含まれています。これらのシステム上では、kclient コマンドを実行して KDC と接続します。詳細は、kclient(1M) のマニュアルページを参照してください。
監査対象システムと ARS の間のクロックスキューが大きすぎる場合は、接続の試行が失敗します。接続が確立されると、バイナリ監査ファイルの命名規則で説明されているように、ARS 上のローカル時間によって格納される監査ファイルの名前が決定されます。
クロックの詳細は、信頼性の高いタイムスタンプの保証を参照してください。