E Kerberos管理ユーティリティの構成
kadmin
を使用する前に、まず、KDCに対する権限を構成する必要があります。Kerberosでは、アクセス制御リスト(ACL)ファイルを使用して、Kerberosデータベースとそのアクセス・レベルに対する管理アクセス権を持つプリンシパルを決定します。
Kerberos ACLファイルのデフォルトの場所は<LOCALSTATEDIR>/krb5kdc/kadm5.aclで、LOCALSTATEDIR
は、KDCデータベースが配置されているディレクトリ接頭辞です。この場所は、kdc.conf
のacl_file
変数で変更できます。
ACLエントリが含まれている行は、次の形式です。
principal permissions [target_principal [restrictions] ]
ノート:
ACLファイル内での行の順序は重要です。最初に一致したエントリは、ターゲット・プリンシパルのアクター・プリンシパルに対するアクセスを制御します。
kadmin
を構成するには、次のステップを実行します。
-
アクセス制御リスト・ファイルを作成し、少なくともいずれかの管理者のKerberosプリンシパルをこのファイルに配置します。次に例を示します。
*/admin@EXAMPLE.COM *
この場合、
admin
インスタンスを含むEXAMPLE.COM
レルム内のすべてのプリンシパルには、KDCに対するすべての管理権限があります。たとえば、
joe/admin@EXAMPLE.com
には、このレルムのKerberosデータベースに対するすべての権限があります。 -
KDCにリモートでアクセスする前に、最初のプリンシパルを作成します。
kadmin.local: addprinc -randkey admin/admin kadmin.local: ktadd –k kadm5.keytab admin/admin
ノート:
パスワードなしの認証を有効にするには、kadm5.keytab
を任意のクライアント・マシンにコピーします。
Kadminを使用して、セキュリティ保守を実行することもできます。詳細は、Kerberosパスワードの更新ガイドラインを参照してください。