E Kerberos管理ユーティリティの構成
kadminを使用する前に、まず、KDCに対する権限を構成する必要があります。Kerberosでは、アクセス制御リスト(ACL)ファイルを使用して、Kerberosデータベースとそのアクセス・レベルに対する管理アクセス権を持つプリンシパルを決定します。
Kerberos ACLファイルのデフォルトの場所は<LOCALSTATEDIR>/krb5kdc/kadm5.aclで、LOCALSTATEDIRは、KDCデータベースが配置されているディレクトリ接頭辞です。この場所は、kdc.confのacl_file変数で変更できます。
ACLエントリが含まれている行は、次の形式です。
principal permissions [target_principal [restrictions] ]注意:
ACLファイル内での行の順序は重要です。最初に一致したエントリは、ターゲット・プリンシパルのアクター・プリンシパルに対するアクセスを制御します。
kadminを構成するには、次のステップを実行します。
-
アクセス制御リスト・ファイルを作成し、少なくともいずれかの管理者のKerberosプリンシパルをこのファイルに配置します。次に例を示します。
*/admin@EXAMPLE.COM *この場合、
adminインスタンスを含むEXAMPLE.COMレルム内のすべてのプリンシパルには、KDCに対するすべての管理権限があります。たとえば、
joe/admin@EXAMPLE.comには、このレルムのKerberosデータベースに対するすべての権限があります。 -
KDCにリモートでアクセスする前に、最初のプリンシパルを作成します。
kadmin.local: addprinc -randkey admin/admin kadmin.local: ktadd –k kadm5.keytab admin/admin
注意:
パスワードなしの認証を有効にするには、kadm5.keytabを任意のクライアント・マシンにコピーします。
Kadminを使用して、セキュリティ保守を実行することもできます。詳細は、Kerberosパスワードの更新ガイドラインを参照してください。