Red Hat Linux 7.1: The オフィシャル Red Hat Linux リファレンスガイド
Prev	Chapter 9. Red Hat LinuxにおけるKerberos 5の蝗脱	Next

Red Hat Linux 7.1におけるKerberos 5サ〖バ〖のセットアップ

　Kerberosをセットアップするには、まずサ〖バ〖∈凡∷をインスト〖ルします。スレ〖ブサ〖バ〖凡をセットアップする涩妥がある眷圭、マスタサ〖バ〖とスレ〖ブサ〖バ〖凡の簇犯をセットアップする数恕の拒嘿については、∝Kerberos 5 Installation Guide≠( /usr/share/doc/krb5-server-<version-number> ディレクトリにあります∷を徊救してください。

　Kerberosサ〖バ〖をインスト〖ルするには、笆布のようにします。

Kerberos 5をインスト〖ルするには、箕纷の票袋が艰られていることと、サ〖バ〖惧でDNSが怠墙していることを澄千しなければなりません。Kerberosサ〖バ〖と驴眶のクライアントとの粗で箕纷の票袋が艰られているかどうかについては、泼に庙罢を失ってください。サ〖バ〖とクライアントの箕纷のずれが5尸を亩えると∈このデフォルトの眶猛はKerberos 5で肋年されます∷、Kerberosクライアントはサ〖バ〖に滦して千沮を乖うことができません。このような箕纷の票袋步は、苟封荚が赖碰なユ〖ザ〖としてマスカレ〖ドを乖う狠に概い千沮を蝗脱できないようにするために涩妥です。
Kerberosを蝗脱していない眷圭でも、Red Hat Linuxを蝗脱して、NTP∈Network Time Protocol∷高垂のクライアント/サ〖バ〖ネットワ〖クをセットアップしなければなりません。 Red Hat Linux 7.1には、インスト〖ルを推白にするために、 ntp パッケ〖ジが脱罢されています。 NTPの拒嘿については、http://www.eecis.udel.edu/~ntp を徊救してください。
KDCを瓢侯させる徒年の漓脱マシン惧に、krb5-libs 、krb5-server、krb5-workstationの称パッケ〖ジをインスト〖ルします。このマシンは、赖しく瘦割される涩妥があります。材墙であれば、KDC笆嘲のサ〖ビスを悸乖すべきではありません。
Kerberosを瓷妄するためのGUI∈Graphical User Interface∷ユ〖ティリティを蝗脱したい眷圭には、 gnome-kerberos パッケ〖ジもインスト〖ルする涩妥があります。このパッケ〖ジには、チケット瓷妄脱のGUIツ〖ル krb5 や、Kerberosのrealmを瓷妄するためのGUIツ〖ル gkadmin が崔まれています。
蝗脱するrealmの叹涟と、ドメインからrealmへのマッピングを瓤鼻するために、肋年ファイルである /etc/krb5.conf と /var/kerberos/krb5kdc/kdc.conf を试礁します。帽姐なrealmを侯喇するには、 EXAMPLE.COM と example.com のインスタンスを、蝗脱するドメイン叹と弥き垂え∈络矢机の叹涟は络矢机のまま、井矢机の叹涟は井矢机のままとします∷、KDCを kerberos.example.com から、蝗脱するKerberosサ〖バ〖叹に恃构します。捶浆により、すべてのrealm叹は络矢机となっており、すべてのDNSホスト叹とドメイン叹は井矢机となっています。惧淡のファイルのフォ〖マットに簇する拒嘿については、称manペ〖ジを徊救してください。
シェルプロンプトから kdb5_util ユ〖ティリティを蝗脱して、デ〖タベ〖スを侯喇します。
/usr/kerberos/sbin/kdb5_util create -s
create コマンドを蝗脱することによって、Kerberosのrealm脱の赴を瘦赂するためのデ〖タベ〖スを侯喇します。 -s スイッチを蝗脱すると、マスタサ〖バ〖赴の瘦赂眷疥である stash ファイルが动扩弄に侯喇されます。赴の粕み哈み傅であるstashファイルが赂哼しない眷圭、Kerberosサ〖バ〖∈ krb5kdc ∷は、弹瓢するたびにユ〖ザ〖に滦してマスタサ〖バ〖脱のパスワ〖ド∈赴を浩栏喇するために蝗脱することができます∷を掐蜗するように回绩します。

/var/kerberos/krb5kdc/kadm5.acl ファイルを试礁します。 kadmind は、このファイルを蝗脱することによって、どのプリンシパルに滦して、どのようなレベルのKerberosデ〖タベ〖スへのアクセスを材墙にするかを疯年します。ほとんどの寥骏の眷圭は、1乖今けば貉みます。

*/admin@EXAMPLE.COM牋*

ほとんどのユ〖ザ〖は、デ〖タベ〖スの面では、∈ NULL 、つまり鄂のインスタンスを积つ、たとえば joe@EXAMPLE.COM などの∷1つのプリンシパルとして山附されます。この肋年の眷圭、 admin というインスタンスを积つ妈企のプリンシパルを积ったユ〖ザ〖は∈たとえば joe/admin@EXAMPLE.COM ∷、realmのKerberosデ〖タベ〖スに滦してすべての涪嘎を蝗脱することができるようになります。

このサ〖バ〖惧で、 kadmind が弹瓢された稿では、どのユ〖ザ〖もrealm柒の扦罢のクライアントかサ〖バ〖惧で、 kadmin か gkadmin のいずれかを悸乖することによって、サ〖ビスにアクセスできるようになります。ただし、极尸极咳のパスワ〖ドを恃构すること笆嘲の、部らかの妨でのデ〖タベ〖ス饯赖を悸乖できるのは、 kadm5.acl ファイルの面にリストされたユ〖ザ〖のみです。

	庙罢
	kadmin と gkadmin のユ〖ティリティはいずれも、ネットワ〖ク沸统で kadmind サ〖バ〖と奶慨し、Kerberosを蝗脱して千沮を悸乖します。もちろん、ネットワ〖ク沸统の瓷妄を誊弄としてサ〖バ〖と儡鲁できるようにするためには、妈办のプリンシパルを侯喇する涩妥があります。 kadmin.local コマンドにより、妈办のプリンシパルを侯喇します。このコマンドは、阜泰に咐えば、KDCと票办のホスト惧で蝗脱するために肋纷されており、千沮脱にKerberosを蝗脱しません。

庙罢

kadmin と gkadmin のユ〖ティリティはいずれも、ネットワ〖ク沸统で kadmind サ〖バ〖と奶慨し、Kerberosを蝗脱して千沮を悸乖します。もちろん、ネットワ〖ク沸统の瓷妄を誊弄としてサ〖バ〖と儡鲁できるようにするためには、妈办のプリンシパルを侯喇する涩妥があります。 kadmin.local コマンドにより、妈办のプリンシパルを侯喇します。このコマンドは、阜泰に咐えば、KDCと票办のホスト惧で蝗脱するために肋纷されており、千沮脱にKerberosを蝗脱しません。

KDC眉琐で、笆布のように kadmin.local コマンドを掐蜗して、妈办のプリンシパルを侯喇します。

/usr/kerberos/sbin/kadmin.local -q "addprinc
username
/admin"

笆布のコマンドを蝗脱してKerberosを弹瓢します。

/sbin/service krb5kdc start
/sbin/service kadmin start
/sbin/service krb524 start

ユ〖ザ〖のプリンシパルを纳裁するには、 kadmin で addprinc コマンドを蝗脱するか、gkadminの[Principal]-[Add]メニュ〖を蝗脱します。kadmin∈とマスタKDC惧の kadmin.local∷は、Kerberos瓷妄システムに滦するコマンドラインインタ〖フェイスです。そのため、 kadmin プログラムの悸乖稿に、驴眶のコマンドを网脱できます。拒嘿については、kadminのmanペ〖ジを徊救してください。

サ〖バ〖によってチケットが券乖されることを浮沮します。まず、 kinit を悸乖してチケットを艰评し、そのチケットを沮汤今キャッシュファイルに瘦赂します。肌に、 klist を蝗脱してキャッシュ柒の沮汤今办枉を徊救し、 kdestroy を蝗脱してキャッシュとその面に崔まれる沮汤今を撬逮します。

庙罢

	庙罢
	デフォルト肋年の眷圭、 kinit は、ユ〖ザ〖が呵介にシステム∈Kerberosサ〖バ〖ではない∷にログインした狠に蝗脱したアカウントのログインユ〖ザ〖叹を蝗脱してユ〖ザ〖を千沮しようとします。システムのユ〖ザ〖叹がKerberosデ〖タベ〖ス柒のプリンシパルと滦炳しない眷圭は、エラ〖メッセ〖ジが山绩されます。その眷圭には、 kinit に滦して、コマンドライン惧の苞眶としてプリンシパルの叹涟を回年してください∈kinit `principal` ∷。

デフォルト肋年の眷圭、 kinit は、ユ〖ザ〖が呵介にシステム∈Kerberosサ〖バ〖ではない∷にログインした狠に蝗脱したアカウントのログインユ〖ザ〖叹を蝗脱してユ〖ザ〖を千沮しようとします。システムのユ〖ザ〖叹がKerberosデ〖タベ〖ス柒のプリンシパルと滦炳しない眷圭は、エラ〖メッセ〖ジが山绩されます。その眷圭には、 kinit に滦して、コマンドライン惧の苞眶としてプリンシパルの叹涟を回年してください∈kinit principal ∷。

　惧淡のステップを窗位すると、Kerberosサ〖バ〖が惟ち惧がり、苍瓢するはずです。肌に、Kerberosクライアントをセットアップする涩妥があります。

Prev	Home	Next
Kerberosの怠墙	Up	Red Hat Linux 7.1におけるKerberos 5クライアントのセットアップ